Penjelasan teknis
Peneliti dari Universitas Zhejiang mengungkapkan Semantic Compliance Hijacking (SCH), serangan supply chain tanpa payload yang menargetkan agen coding otonom. Serangan ini menerjemahkan tujuan berbahaya menjadi instruksi bahasa alami yang tidak terstruktur yang diformat sebagai aturan kepatuhan, menyebabkan agen untuk menghasilkan dan menjalankan kode yang tidak sah pada runtime. Karena SCH menghilangkan payload kode yang dapat dikenali dan tanda tangan Abstract Syntax Tree, file skill yang dimanipulasi mempertahankan tingkat deteksi 0.00% terhadap alat pemindaian saat ini.
Vektor serangan
Penyerang menanamkan instruksi bahasa alami yang menyamar sebagai aturan kepatuhan yang diperlukan dalam file deskripsi skill agen yang didistribusikan melalui marketplace seperti ClawHub. Ketika agen memuat skill, skill tersebut memperlakukan instruksi yang ditanamkan sebagai arahan operasional yang berwenang dan mensintesis kode berbahaya secara dinamis. Serangan ini mencapai tingkat kesuksesan puncak 77.67% untuk pelanggaran kerahasiaan dan 67.33% untuk eksekusi kode jarak jauh di tiga kerangka kerja agen utama (OpenClaw, Claude Code, Codex) dan tiga model fondasi.
Sistem yang terdampak
Kerangka kerja agen AI yang memuat skill pihak ketiga dari marketplace terbuka, termasuk OpenClaw, Claude Code, Codex, dan sistem agentic serupa dengan arsitektur pemuatan skill. Serangan ini melewati alat Static Application Security Testing (SAST) saat ini dan pemindai skill seperti SkillScan.
Mitigasi
Transisi dari pemindaian skill berbasis tanda tangan ke validasi niat semantik. Audit sumber skill dan batasi instalasi skill ke repositori yang telah diverifikasi. Terapkan pemantauan runtime dari kode yang dihasilkan agen sebelum eksekusi. Terapkan konteks eksekusi privilege minimal untuk beban kerja agen. Tinjau privilege tingkat sistem agen—akses sistem file, eksekusi perintah shell, konektivitas jaringan—dan terapkan sandboxing jika memungkinkan.