SkillCloak é um framework de pesquisa que consegue camuflar skills maliciosas para agentes de IA — como Claude Code e OpenAI Codex — de forma que elas passem por 90% a 99% dos scanners de segurança atuais. O estudo, feito por pesquisadores da Universidade de Ciência e Tecnologia de Hong Kong, testou 1.613 skills reais do marketplace ClawHub e provou que a verificação estática não funciona contra técnicas de ofuscação. A ameaça já é real: campanhas como ClawHavoc infectaram centenas de skills com infostealers e backdoors que os scanners não detectaram.
O que é SkillCloak
Pesquisadores da Universidade de Ciência e Tecnologia de Hong Kong (HKUST) divulgaram um estudo que demonstra como ferramentas de verificação de skills para agentes de IA — Claude Code, OpenAI Codex, OpenClaw e outros — são facilmente burladas por técnicas de ofuscação. O trabalho, intitulado “Cloak and Detonate” (arXiv:2607.02357), apresentou o SkillCloak, um framework que transforma skills maliciosas em versões que passam despercebidas por oito scanners testados, com taxas de bypass superiores a 90%.
Skills são pacotes de instruções — geralmente um arquivo Markdown mais alguns scripts — que agentes de IA carregam para ganhar novas capacidades. Executam com os mesmos privilégios do agente: acesso a arquivos, terminal e credenciais salvas. Uma skill maliciosa pode roubar chaves de API, copiar código-fonte ou instalar backdoors. Até agora, a principal defesa eram scanners estáticos que analisam os arquivos antes da instalação. O estudo prova que essa defesa não funciona contra um adversário determinado.
Como o SkillCloak burla scanners
O framework emprega duas estratégias complementares. A primeira, chamada Obfuscação Estrutural, reescreve os indicadores visíveis do payload sem alterar seu comportamento. Troca caracteres por equivalentes visuais de outro alfabeto, insere quebras de linha no meio de comandos sinalizados ou usa codificações que o scanner não reconhece, mas o agente executa normalmente.
A segunda, mais agressiva, é o Self-Extracting Skill (SFS) Packing. O payload malicioso é movido para diretórios que os scanners costumam ignorar — como .git/ ou build/ — e escondido atrás de um decodificador aparentemente inofensivo que reconstrói a skill somente durante a execução. Como os scanners pulam esses diretórios para economizar tempo e reduzir falsos positivos, o payload passa despercebido.
Testado contra 1.613 skills maliciosas reais extraídas do ClawHub (marketplace público da OpenClaw), o SFS Packing burlou todos os oito scanners em mais de 90% das tentativas. Em vários deles, a taxa ultrapassou 99%. A obfuscação estrutural superou 80% na maioria dos scanners e alcançou 96% em um scanner híbrido. O scanner da Cisco, considerado o mais robusto, detectou 99% das skills antes da camuflagem, mas caiu para cerca de 10% depois.
ClawHavoc: ataque real em curso
Nada disso é teórico. O mercado de skills já vive um cenário de exploração ativa. A campanha ClawHavoc, documentada pela Repello AI e pela Unit 42 da Palo Alto Networks, identificou entre 341 e 824 skills maliciosas no ClawHub. Algumas usam exatamente os truques descritos no paper.
A Unit 42 encontrou cinco skills maliciosas que permaneciam ativas no ClawHub apesar da verificação integrada. Duas entregavam infostealers para macOS conectados a infraestrutura de comando e controle. Uma usava padding de tamanho — o README tinha 22 MB de lixo — para exceder o limite de análise dos scanners, a mesma técnica testada no estudo. As outras duas representavam uma nova categoria de ameaça: injeção agentic de links afiliados e front-running financeiro, onde a skill manipulava a saída do agente para lucrar com moedas meme e comissões.
A Bitdefender havia estimado que cerca de 17% das skills analisadas no marketplace carregavam código malicioso. A Koi Security contabilizou 341 pacotes em sua divulgação inicial, número que cresceu conforme o mercado se expandia.
O caso do GitHub limpo
A falha de confiança na análise estática vai além dos marketplaces de skills. A equipe 0DIN da Mozilla rastreou um caso em que um repositório GitHub aparentemente limpo induziu o Claude Code a abrir um reverse shell na máquina do próprio desenvolvedor. O código malicioso nunca esteve no repositório: um script de setup o buscava em tempo de execução a partir de um registro DNS, de modo que uma análise estática não encontrava nada.
Um mecanismo semelhante afeta as descrições de ferramentas que os agentes leem pelo Model Context Protocol (MCP). A Microsoft alertou que uma descrição envenenada, alterada após a aprovação da ferramenta, levou um agente financeiro a vazar faturas não pagas. O mecanismo difere, mas a premissa quebrada é a mesma: confiar que o que passou pela verificação é o que será executado.
SkillDetonate: defesa baseada em comportamento
Diante da falha dos scanners estáticos, os pesquisadores propuseram o SkillDetonate, um auditor de runtime que executa skills em sandbox e detecta efeitos maliciosos observando o comportamento no nível do sistema operacional. Em vez de analisar como a skill parece, monitora o que ela faz: quais arquivos lê e escreve, quais comandos executa e para onde envia dados.
O SkillDetonate combina rastreamento de fluxo de dados sensíveis — acompanhando informações por onde circulam, não como aparecem — com análise de taint baseada em marcadores que cobrem o contexto do agente, sistema de arquivos, processos e operações de rede. Em testes controlados, detectou 97% dos ataques com apenas 2% de falsos positivos. Em skills maliciosas reais, a taxa ficou em 87%.
O contraste com os scanners é abrupto: o scanner da Cisco passou de 99% para 10% de detecção após a camuflagem. O SkillDetonate manteve desempenho estável mesmo contra skills disfarçadas. A desvantagem é o tempo — alguns minutos por skill contra segundos de um scanner —, embora a execução seja única, antes da skill entrar em produção.
Risco real para usuários de IA
A lição central é que a verificação estática de skills não é garantia de segurança. Um selo “aprovado pelo scanner” é um ponto de partida, não uma conclusão. Para equipes que dependem de agentes de código, isso implica algumas ações práticas.
Primeiro, auditar o comportamento em runtime. Monitorar quaisquer arquivos que a skill toca, comandos que executa e conexões de rede que estabelece — especialmente em seus primeiros minutos de operação. Segundo, desconfiar de skills com arquivos grandes ou de alta entropia em diretórios como .git/, build/ ou node_modules/. Terceiro, evitar instalação de skills de fontes não verificadas, especialmente em marketplaces com revisão mínima.
O ecossistema de skills de IA está crescendo rápido demais para a infraestrutura de segurança acompanhá-lo. Enquanto defesas baseadas em comportamento não forem integradas nativamente nos agentes e marketplaces, o risco de supply chain via skills maliciosas vai continuar escalando. Para contexto, o JadePuffer demonstrou como ransomware passou a ser operado inteiramente por IA, enquanto o DuneSlide mostrou que agentes de código podem executar payloads sem interação do usuário e o caso do PoC falso no GitHub revelou repositórios limpos escondendo roubo de credenciais.
Referências
- Ji, Z. et al. “Cloak and Detonate: Scanner Evasion and Dynamic Detection of Agent Skill Malware.” arXiv:2607.02357, jul. 2026
- The Hacker News. “SkillCloak Lets Malicious AI Agent Skills Evade Static Scanners.” 6 jul. 2026
- Repello AI. “ClawHavoc: Inside the Supply Chain Attack That Targeted 300,000 AI Agent Users.” 24 fev. 2026
- Unit 42, Palo Alto Networks. “OpenClaw’s Skill Marketplace and the Emerging AI Supply Chain Threat.” 23 jun. 2026