論文の概要: PhantomSkill: Malicious Code Injection in Agent Skill Ecosystems

• arxiv url: http://arxiv.org/abs/2606.19191v1
• Date: Wed, 17 Jun 2026 15:33:41 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-06-18 17:16:51.243188
• Title: PhantomSkill: Malicious Code Injection in Agent Skill Ecosystems
• Title（参考訳）: PhantomSkill:エージェントスキルエコシステムにおける悪意のあるコード注入
• Authors: Yu-Ting Lin, Chia-Mu Yu,
• Abstract要約: PhantomSkillは、悪意のある振る舞いをスキルの補助リソースに隠蔽する攻撃フレームワークである。 VulMaskは悪意のあるスクリプトを、攻撃者が制御するトリガー条件下でのみ悪意のある振る舞いが起動される脆弱性型の実装に書き換える。 我々の結果は、スキルエコシステムはリソースレベルの検証、実行時の封じ込め、およびエージェントスキルの悪用可能な脆弱性を潜在的に悪意のあるペイロードとして扱うセキュリティポリシーを必要としていることを示している。
• 参考スコア（独自算出の注目度）: 8.017582494003564
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Agent skills allow LLM-based coding agents to acquire domain-specific capabilities from third-party packages, but they also introduce a new supply-chain attack surface. We present PhantomSkill, an attack framework that hides malicious behavior in a skill's auxiliary resources rather than in its textual description. Its core technique, VulMask, rewrites overt malicious scripts into vulnerability-shaped implementations whose malicious behavior is activated only under attacker-controlled trigger conditions. This design shifts the visible signal from explicit malicious intent to ordinary-looking insecure code. Across representative host skills, attack goals, coding agents, generation models, and automated reviewers, VulMask preserves benign utility while reducing warning and malware-level detection compared with overt malicious scripts. Our results show that skill ecosystems require resource-level vetting, execution-time containment, and security policies that treat exploitable vulnerabilities in agent skills as potential malicious payloads.
• Abstract（参考訳）: エージェントスキルは、LLMベースのコーディングエージェントがサードパーティパッケージからドメイン固有の機能を取得することを可能にすると同時に、新たなサプライチェーンアタックサーフェスも導入する。 PhantomSkillは、そのテキスト記述よりも、スキルの補助リソースに悪意のある振る舞いを隠蔽する攻撃フレームワークである。 そのコア技術であるVulMaskは、悪意のあるスクリプトを、攻撃者が制御するトリガー条件下でのみ、悪意のある振る舞いが活性化される脆弱性型の実装に書き換える。 この設計では、可視信号は明示的な悪意のある意図から通常の安全でないコードへとシフトする。 VulMaskは、ホストスキル、攻撃目標、コーディングエージェント、生成モデル、自動レビュワー全体にわたって、悪意のあるユーティリティを維持しながら、過度に悪意のあるスクリプトと比較して警告とマルウェアレベルの検出を減らしている。 我々の結果は、スキルエコシステムはリソースレベルの検証、実行時の封じ込め、およびエージェントスキルの悪用可能な脆弱性を潜在的に悪意のあるペイロードとして扱うセキュリティポリシーを必要としていることを示している。

関連論文リスト

• SkillHarm: Lifecycle-Aware Skill-Based Attacks via Automated Construction [89.03272793385054]
  エージェントスキルはエージェントワークフローにおける特権的な位置を占め、サードパーティスキルを脆弱な攻撃面にする。 我々はスキルベースアタックのベンチマークであるSkillHarmを紹介した。 攻撃成功率はFPPが86.3%、SMPが69.3%である。
  論文  参考訳（メタデータ） (2026-06-01T17:45:39Z)
• Exploiting LLM Agent Supply Chains via Payload-less Skills [10.141577783380281]
  本稿では、自律的なコーディング環境をターゲットにしたペイロードレスサプライチェーンアタックであるSemantic Compliance Hijacking(SCH)を紹介する。 SCHアプローチは、悪意のある目標を、必要なコンプライアンスルールとしてフォーマットされた非構造化の自然言語命令に変換する。 この発見は、この脅威の広範性を示し、SCHは機密性侵害に対して77.67%の最高成功率を達成した。
  論文  参考訳（メタデータ） (2026-05-14T06:55:47Z)
• ExploitGym: Can AI Agents Turn Security Vulnerabilities into Real Attacks? [92.21756459993695]
  低レベルのプログラム推論を必要とするため、爆発は難しい作業です。 その重要性と診断価値にもかかわらず、搾取は未評価のままである。 ExploitGymは、AIエージェントのエクスプロイト能力に関する大規模で多様な、現実的なベンチマークである。
  論文  参考訳（メタデータ） (2026-05-11T18:00:14Z)
• Skill-Inject: Measuring Agent Vulnerability to Skill File Attacks [27.120130204872325]
  SkillInjectは、広く使われているLLMエージェントの、スキルファイルによるインジェクションに対する感受性を評価するベンチマークである。 SkillInjectには、明らかに悪意のあるインジェクションから、その他の正当な命令に隠された微妙なコンテキスト依存的なアタックまで、202のインジェクションタスクペアが含まれている。 以上の結果から,今日のエージェントは,フロンティアモデルによる攻撃成功率の最大80%に対して,非常に脆弱であることが示唆された。
  論文  参考訳（メタデータ） (2026-02-23T18:59:27Z)
• SkillJect: Automating Stealthy Skill-Based Prompt Injection for Coding Agents with Trace-Driven Closed-Loop Refinement [120.52289344734415]
  エージェントスキルに適したステルスプロンプトインジェクションのための自動フレームワークを提案する。 フレームワークは、明示的なステルス制約の下でインジェクションスキルを合成するアタックエージェント、インジェクションされたスキルを使用してタスクを実行するコードエージェント、アクショントレースをログする評価エージェントの3つのエージェントでクローズドループを形成する。 本手法は,現実的な環境下で高い攻撃成功率を達成する。
  論文  参考訳（メタデータ） (2026-02-15T16:09:48Z)
• Malice in Agentland: Down the Rabbit Hole of Backdoors in the AI Supply Chain [82.98626829232899]
  自分自身のインタラクションからのデータに対する微調整のAIエージェントは、AIサプライチェーン内の重要なセキュリティ脆弱性を導入している。 敵は容易にデータ収集パイプラインに毒を盛り、検出しにくいバックドアを埋め込むことができる。
  論文  参考訳（メタデータ） (2025-10-03T12:47:21Z)
• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。