技術的な説明
浙江大学の研究者らが、自律型コーディング・エージェントを標的とするペイロードレス・サプライチェーン攻撃「Semantic Compliance Hijacking (SCH)」を公開した。この攻撃は悪意のある目的を非構造化された自然言語命令に変換し、コンプライアンスルールとしてフォーマット化することで、エージェントが実行時に不正なコードを生成・実行させる。SCH は認識可能なコード・ペイロードと Abstract Syntax Tree シグネチャを省略するため、操作されたスキルファイルは現在のスキャンツールに対して 0.00% の検出率を維持した。
攻撃経路
攻撃者は ClawHub のようなマーケットプレイスを通じて配布されるエージェント・スキル説明ファイル内に、必要なコンプライアンスルールとして偽装された自然言語命令を埋め込む。エージェントがスキルをロードすると、埋め込まれた命令を信頼できる運用指令として扱い、悪意のあるコードを動的に生成する。この攻撃は、3 つの主流エージェント・フレームワーク (OpenClaw、Claude Code、Codex) と 3 つの基盤モデルにおいて、機密性侵害で最大 77.67%、リモートコード実行で 67.33% のピーク成功率を達成した。
影響を受けるシステム
OpenClaw、Claude Code、Codex を含むオープン・マーケットプレイスから第三者スキルをロードする AI エージェント・フレームワーク、および同様のアジェント・システムでスキル・ロード・アーキテクチャを備えたもの。この攻撃は、Static Application Security Testing (SAST) ツールおよび SkillScan のようなスキル・スキャナーを回避する。
緩和策
シグネチャ・ベースのスキル・スキャンからセマンティック・インテント検証への移行。スキル・ソースを監査し、スキル・インストールを検証済みリポジトリに制限。エージェント生成コードの実行前のランタイム監視を実装。エージェント・ワークロードに対する最小権限実行コンテキストを適用。エージェントのシステムレベル権限(ファイルシステム・アクセス、シェル・コマンド実行、ネットワーク接続)を確認し、実行可能な範囲でサンドボックス化を実施。