Des chercheurs de la Hong Kong University of Science and Technology montrent que les scanners chargés de détecter des extensions malveillantes pour agents IA peuvent être contournés avec des techniques d’obfuscation et d’empaquetage. Leur méthode SkillCloak aurait échappé à tous les scanners testés dans plus de 90 % des cas.
Une nouvelle faiblesse dans la sécurité des agents de code
Les agents IA de code s’appuient de plus en plus sur des skills, des extensions qui leur permettent d’exécuter des tâches, d’interagir avec des fichiers, d’appeler des API ou de manipuler des environnements de développement. Ce modèle étend leurs capacités, mais il ajoute aussi une surface d’attaque proche de celle des plugins ou des packages open source.
Le risque n’est pas seulement théorique. Une étude publiée en janvier 2026 avait déjà analysé 31 132 skills issus de deux places de marché, après en avoir collecté 42 447. Elle concluait que 26,1 % contenaient au moins une vulnérabilité, avec des risques de prompt injection, d’exfiltration de données, d’élévation de privilèges ou de compromission de la supply chain.
Le nouveau travail publié début juillet par des chercheurs de la Hong Kong University of Science and Technology se concentre sur un point plus précis, la capacité des scanners à repérer ces extensions malveillantes. Leur conclusion révèle que les défenses fondées sur l’analyse statique ou l’évaluation par LLM restent trop dépendantes de ce qui est visible avant l’exécution.
SkillCloak masque l’attaque sans en changer le comportement
Les chercheurs ont testé huit scanners face à 1 613 skills malveillants observés dans la nature. Leur méthode, baptisée SkillCloak, ne modifie pas la logique de l’attaque. Elle change seulement son apparence pour échapper aux contrôles.
Deux techniques sont décrites. La première réécrit les indices visibles du code malveillant sous une forme équivalente. La seconde repose sur un empaquetage auto-extractible, qui masque les composants suspects lors de l’installation et les restaure au moment de l’exécution par l’agent. Cette approche contourne tous les scanners testés dans plus de 90 % des cas, tandis que l’obfuscation structurelle dépasse 80 % d’évasion sur la plupart des scanners statiques.
Le constat rejoint celui de la Cloud Security Alliance, qui rappelait en juin que plusieurs scanners de skills avaient déjà été contournés avec des méthodes connues, comme le gonflement artificiel du contexte, le bytecode Python précompilé ou l’indirection par archive.
Pour les entreprises, les skills d’agents IA doivent être traités comme du code tiers non fiable, surtout lorsqu’ils peuvent accéder au terminal, aux fichiers, au code source ou à des secrets développeurs. Les chercheurs proposent d’ailleurs une défense centrée sur l’exécution, SkillDetonate, qui observe le comportement réel du skill en sandbox plutôt que son apparence au moment de l’installation.




