ठीक दो महीने पहले, हांगकांग विश्वविद्यालय में डेटा इंटेलिजेंस लैब के शोधकर्ताओं ने सीएलआई-एनीथिंग पेश किया, एक नया अत्याधुनिक उपकरण जो किसी भी रेपो के स्रोत कोड का विश्लेषण करता है और एक संरचित कमांड लाइन इंटरफ़ेस (सीएलआई) उत्पन्न करता है जिसे एआई कोडिंग एजेंट एक ही कमांड के साथ संचालित कर सकते हैं।
क्लाउड कोड, कोडेक्स, ओपनक्लाव, कर्सर और गिटहब कोपायलट सीएलआई सभी समर्थित हैं, और मार्च में लॉन्च होने के बाद से, सीएलआई‑एनीथिंग 30,000 से अधिक गिटहब सितारों तक पहुंच गया है।
लेकिन वही तंत्र जो सॉफ़्टवेयर को एजेंट-मूल बनाता है, एजेंट-स्तर की विषाक्तता का द्वार खोलता है। टीवह हमला समुदाय पहले से ही एक्स और सुरक्षा मंचों पर निहितार्थों पर चर्चा कर रहा है, सीएलआई-एनीथिंग के आर्किटेक्चर को आक्रामक प्लेबुक में अनुवाद कर रहा है।
सुरक्षा समस्या वह नहीं है जो सीएलआई-एनीथिंग करती है। यह वही है जो सीएलआई-एनीथिंग दर्शाता है।
सीएलआई-एनीथिंग SKILL.md फ़ाइलें उत्पन्न करता है, वही निर्देश-परत कलाकृतियाँ जो Snyk के ToxicSkills अनुसंधान ने फरवरी 2026 में ClawHub और स्किल्स.sh में 76 पुष्ट दुर्भावनापूर्ण पेलोड के साथ पाईं। एक जहरीली कौशल परिभाषा CVE को ट्रिगर नहीं करती है और सामग्री के सॉफ़्टवेयर बिल (SBOM) में कभी दिखाई नहीं देती है। किसी भी मुख्यधारा सुरक्षा स्कैनर के पास एजेंट कौशल परिभाषाओं में अंतर्निहित दुर्भावनापूर्ण निर्देशों का पता लगाने वाली श्रेणी नहीं है, क्योंकि यह श्रेणी अठारह महीने पहले अस्तित्व में ही नहीं थी।
सिस्को ने अप्रैल में इस अंतर की पुष्टि की। सिस्को की इंजीनियरिंग टीम ने आईडीई के लिए अपने एआई एजेंट सुरक्षा स्कैनर की घोषणा करते हुए एक ब्लॉग पोस्ट में लिखा, “पारंपरिक एप्लिकेशन सुरक्षा उपकरण इसके लिए डिज़ाइन नहीं किए गए थे।” “एसएएसटी [static application security testing] स्कैनर स्रोत कोड सिंटैक्स का विश्लेषण करते हैं। एससीए [software composition analysis] उपकरण निर्भरता संस्करणों की जाँच करते हैं। न ही उस शब्दार्थ परत को समझता है जहां एम.सी.पी [Model Context Protocol] टूल विवरण, एजेंट संकेत और कौशल परिभाषाएँ संचालित होती हैं।”
एन्क्रिप्ट एआई के सीएसओ और अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस) के पूर्व डिप्टी सीआईएसओ मेरिट बेयर ने एक विशेष साक्षात्कार में वेंचरबीट को बताया: “एसएएसटी और एससीए कोड और निर्भरता के लिए बनाए गए थे। वे निर्देशों का निरीक्षण नहीं करते हैं।”
यह एकल-विक्रेता भेद्यता नहीं है। यह एक संरचनात्मक अंतर है कि संपूर्ण सुरक्षा उद्योग सॉफ़्टवेयर आपूर्ति श्रृंखलाओं की निगरानी कैसे करता है। यह शोषण-पूर्व की खिड़की है। सीएलआई-कुछ भी लाइव है, हमला करने वाला समुदाय इस पर चर्चा कर रहा है, और सुरक्षा निदेशक जो अब कार्रवाई करते हैं वे पहली घटना की रिपोर्ट से आगे निकल जाते हैं।
एकीकरण परत कोई भी स्टैक नहीं देख सकता
पारंपरिक आपूर्ति-श्रृंखला सुरक्षा दो परतों पर काम करती है। कोड परत वह जगह है जहां SAST काम करता है, असुरक्षित पैटर्न, इंजेक्शन की खामियों और हार्डकोडेड रहस्यों के लिए स्रोत फ़ाइलों को स्कैन करता है। निर्भरता परत वह जगह है जहां एससीए काम करता है, ज्ञात कमजोरियों के खिलाफ पैकेज संस्करणों की जांच करता है, एसबीओएम उत्पन्न करता है, और पुरानी पुस्तकालयों को चिह्नित करता है।
सीएलआई-एनीथिंग, एमसीपी कनेक्टर, कर्सर नियम फ़ाइलें और क्लाउड कोड कौशल जैसे एजेंट ब्रिज टूल अन्य दो के बीच तीसरी परत पर काम करते हैं। इसे एजेंट एकीकरण परत कहें: कॉन्फ़िगरेशन फ़ाइलें, कौशल परिभाषाएं और प्राकृतिक-भाषा निर्देश सेट एक एआई एजेंट को बताते हैं कि सॉफ़्टवेयर क्या कर सकता है और इसे कैसे संचालित करना है। इसमें से कोई भी कोड जैसा नहीं दिखता. यह सब कोड की तरह क्रियान्वित होता है।
रेपुटेशन में एआई के उपाध्यक्ष कार्टर रीस ने वेंचरबीट को एक विशेष साक्षात्कार में बताया: “आधुनिक एलएलएम [large language models] तीसरे पक्ष के प्लगइन्स पर भरोसा करें, आपूर्ति श्रृंखला की कमजोरियों का परिचय दें, जहां समझौता किए गए उपकरण आंतरिक सुरक्षा प्रशिक्षण को दरकिनार करते हुए, बातचीत के प्रवाह में दुर्भावनापूर्ण डेटा डाल सकते हैं।
ग्रिफ़िथ विश्वविद्यालय, नानयांग टेक्नोलॉजिकल यूनिवर्सिटी, न्यू साउथ वेल्स विश्वविद्यालय और टोक्यो विश्वविद्यालय के शोधकर्ताओं ने अप्रैल के पेपर, “एलएलएम कोडिंग एजेंट स्किल इकोसिस्टम के खिलाफ आपूर्ति-श्रृंखला विषाक्तता हमलों” में हमले की श्रृंखला का दस्तावेजीकरण किया। टीम ने दस्तावेज़-संचालित निहित पेलोड निष्पादन (डीडीआईपीई) पेश किया, एक ऐसी तकनीक जो कौशल दस्तावेज़ीकरण के भीतर कोड उदाहरणों के अंदर दुर्भावनापूर्ण तर्क को एम्बेड करती है।
चार एजेंट फ्रेमवर्क और पांच बड़े भाषा मॉडल में, डीडीआईपीई ने 11.6% और 33.5% के बीच बाईपास दर हासिल की। स्थैतिक विश्लेषण ने अधिकांश नमूनों को पकड़ लिया, लेकिन 2.5% सभी चार पहचान परतों से बच गए। जिम्मेदार प्रकटीकरण से चार पुष्ट कमजोरियाँ और दो विक्रेता सुधार सामने आए।
किल चेन सुरक्षा नेताओं को ऑडिट करने की आवश्यकता है
यहां किल श्रृंखला की शारीरिक रचना है: एक हमलावर एक ओपन-सोर्स प्रोजेक्ट में एक SKILL.md फ़ाइल सबमिट करता है जिसमें सेटअप निर्देश, कोड उदाहरण और कॉन्फ़िगरेशन टेम्पलेट शामिल होते हैं। यह मानक दस्तावेज़ जैसा दिखता है। एक कोड समीक्षक इसे दोहराएगा क्योंकि इसमें से कोई भी निष्पादन योग्य नहीं है। लेकिन कोड उदाहरणों में एम्बेडेड निर्देश होते हैं जिन्हें एक एजेंट परिचालन निर्देशों के रूप में पार्स करेगा।
एक डेवलपर अपने कोडिंग एजेंट को रिपॉजिटरी से जोड़ने के लिए एजेंट ब्रिज टूल का उपयोग करता है। एजेंट कौशल परिभाषा को आत्मसात करता है और उस पर भरोसा करता है, क्योंकि निर्देश स्तर पर सौम्य और दुर्भावनापूर्ण इरादे को अलग करने के लिए कोई सत्यापन परत मौजूद नहीं है।
एजेंट अपने स्वयं के वैध क्रेडेंशियल्स का उपयोग करके एम्बेडेड निर्देश निष्पादित करता है। एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) एक अधिकृत प्रक्रिया से स्वीकृत एपीआई कॉल को देखता है और उसे पास कर देता है। डेटा एक्सफ़िलिटेशन, कॉन्फ़िगरेशन परिवर्तन और क्रेडेंशियल हार्वेस्टिंग सभी उन चैनलों के माध्यम से आगे बढ़ रहे हैं जिन्हें मॉनिटरिंग स्टैक सामान्य ट्रैफ़िक मानता है।
रीस ने उस संरचनात्मक दोष की पहचान की जो इस श्रृंखला को घातक बनाती है। उन्होंने वेंचरबीट को बताया, “एंटरप्राइज़ एआई में एक महत्वपूर्ण भेद्यता टूटा हुआ एक्सेस कंट्रोल है, जहां एलएलएम का फ्लैट प्राधिकरण विमान उपयोगकर्ता की अनुमतियों का सम्मान करने में विफल रहता है।” उस फ्लैट प्राधिकरण विमान की सवारी करने वाली एक समझौता कौशल परिभाषा को विशेषाधिकारों को बढ़ाने की आवश्यकता नहीं है। यह उनके पास पहले से ही है. उस श्रृंखला का प्रत्येक लिंक वर्तमान सुरक्षा स्टैक के लिए अदृश्य है।
पिलर सिक्योरिटी ने जनवरी 2026 में कर्सर के विरुद्ध इस श्रृंखला के एक संस्करण का प्रदर्शन किया (CVE-2026-22708)। अंतर्निहित विश्वसनीय शेल अंतर्निहित कमांड को अप्रत्यक्ष त्वरित इंजेक्शन के माध्यम से जहर दिया जा सकता है, सौम्य डेवलपर कमांड को मनमाने कोड निष्पादन वैक्टर में परिवर्तित किया जा सकता है। उपयोगकर्ताओं ने केवल अंतिम आदेश देखा। विषाक्तता अन्य आदेशों के माध्यम से हुई, आईडीई अनुमोदन के लिए कभी सामने नहीं आया।
साक्ष्य पहले से ही उत्पादन में है
अप्रैल 2026 से एक प्रलेखित हमले की श्रृंखला में, एक तैयार किए गए GitHub अंक शीर्षक ने Cline में वायर्ड AI ट्राइएज बॉट को ट्रिगर किया। बॉट ने एक GITHUB_TOKEN को बाहर निकाल दिया, जिसका उपयोग हमलावर ने एक समझौता किए गए एनपीएम निर्भरता को प्रकाशित करने के लिए किया, जिसने आठ घंटे के लिए लगभग 4,000 डेवलपर मशीनों पर दूसरा एजेंट स्थापित किया। केवल एक अंक का शीर्षक था। हमलावरों के पास आठ घंटे की पहुंच थी। किसी भी इंसान ने कार्रवाई को मंजूरी नहीं दी।
स्निक के टॉक्सिकस्किल्स ऑडिट ने फरवरी 2026 में ओपनक्लाव एजेंट फ्रेमवर्क के लिए सार्वजनिक बाज़ार क्लॉहब और स्किल्स.श से 3,984 एजेंट कौशल को स्कैन किया। परिणाम: सभी कौशल में से 13.4% में कम से कम एक महत्वपूर्ण सुरक्षा मुद्दा शामिल था। दैनिक कौशल प्रस्तुतियाँ जनवरी के मध्य में 50 से कम से बढ़कर फरवरी की शुरुआत में 500 से अधिक हो गईं। प्रकाशन में बाधा एक SKILL.md मार्कडाउन फ़ाइल और एक सप्ताह पुराना GitHub खाता था। कोई कोड हस्ताक्षर नहीं. कोई सुरक्षा समीक्षा नहीं. कोई सैंडबॉक्स नहीं.
OpenClaw कोई बाहरी चीज़ नहीं है. यह पैटर्न है. बेयर ने कहा, “प्रवेश पर रोक बेहद कम है।” “किसी कौशल को जोड़ना वर्ड डॉक या लाइटवेट कॉन्फिग फ़ाइल को अपलोड करने जितना आसान हो सकता है। यह संकलित कोड की तुलना में एक मौलिक रूप से अलग जोखिम प्रोफ़ाइल है।” उन्होंने क्लॉपैट्रोल जैसी परियोजनाओं की ओर इशारा किया, जिन्होंने दुर्भावनापूर्ण कौशलों को सूचीबद्ध करना और स्कैन करना शुरू कर दिया है, यह सबूत है कि पारिस्थितिकी तंत्र उद्यम सुरक्षा की तुलना में तेजी से आगे बढ़ रहा है।
क्लॉहवॉक अभियान, जिसे पहली बार जनवरी 2026 के अंत में कोई सिक्योरिटी द्वारा रिपोर्ट किया गया था, ने शुरुआत में क्लॉहब पर 341 दुर्भावनापूर्ण कौशल की पहचान की। एंटी सीईआरटी के एक अनुवर्ती विश्लेषण ने पूरे प्लेटफ़ॉर्म पर 1,184 समझौता किए गए पैकेजों की संख्या का विस्तार किया। अभियान ने पेशेवर दस्तावेज़ीकरण के साथ कौशल परिभाषाओं के माध्यम से परमाणु चोरी करने वाला (एएमओएस) प्रदान किया। सोलाना-वॉलेट-ट्रैकर और पॉलीमार्केट-ट्रेडर नामक कौशल डेवलपर्स द्वारा सक्रिय रूप से खोजे गए कौशल से मेल खाते हैं।
एमसीपी प्रोटोकॉल परत समान एक्सपोज़र रखती है। ओएक्स सिक्योरिटी ने अप्रैल में रिपोर्ट दी थी कि शोधकर्ताओं ने प्रूफ-ऑफ-कॉन्सेप्ट सर्वर का उपयोग करके 11 एमसीपी मार्केटप्लेस में से नौ को जहरीला बना दिया है। ट्रेंड माइक्रो ने शुरुआत में शून्य प्रमाणीकरण के साथ इंटरनेट के संपर्क में आने वाले 492 एमसीपी सर्वर पाए; अप्रैल तक, यह संख्या बढ़कर 1,467 हो गई। जैसा कि द रजिस्टर ने रिपोर्ट किया है, मूल मुद्दा एंथ्रोपिक के एमसीपी सॉफ्टवेयर डेवलपमेंट किट (एसडीके) परिवहन तंत्र में है। आधिकारिक एसडीके का उपयोग करने वाले किसी भी डेवलपर को भेद्यता वर्ग विरासत में मिलता है।
वेंचरबीट प्रिस्क्रिप्टिव मैट्रिक्स: थ्री-लेयर एजेंट सप्लाई-चेन ऑडिट
वेंचरबीट ने वर्तमान एसएएसटी, एससीए और एजेंट-लेयर टूल्स की पहचान क्षमताओं के खिलाफ उपरोक्त अनुसंधान और घटना रिपोर्ट में दर्ज तीन हमले परतों को मैप करके एक प्रिस्क्रिप्टिव मैट्रिक्स विकसित किया है। प्रत्येक पंक्ति पहचानती है कि सुरक्षा टीमों को क्या सत्यापित करना चाहिए और आज किसी भी स्कैनर का कवरेज कहां नहीं है।
| परत |
धमकी |
वर्तमान का पता लगाना |
क्यों चूक जाता है |
अनुशंसित कार्रवाई |
|
1. कोड |
एआई-जनरेटेड कोड में शीघ्र इंजेक्शन |
SAST स्कैनर |
अधिकांश SAST उपकरणों में AI-जनरेटेड कोड में त्वरित इंजेक्शन के लिए कोई पहचान श्रेणी नहीं होती है |
पुष्टि करें कि SAST शीघ्र इंजेक्शन के लिए AI-जनरेटेड कोड को स्कैन करता है। यदि नहीं, तो इस तिमाही में विक्रेता से खुली बातचीत करें। |
|
2. निर्भरता |
दुर्भावनापूर्ण एमसीपी सर्वर, एजेंट कौशल, प्लगइन रजिस्ट्रियां |
एससीए उपकरण |
एससीए सामग्री का कोई एआई-विशिष्ट बिल नहीं बनाता है। एजेंट-लेयर निर्भरताएँ अदृश्य हैं। |
पुष्टि करें कि एससीए में निर्भरता सूची में एमसीपी सर्वर, एजेंट कौशल और प्लगइन रजिस्ट्रियां शामिल हैं। |
|
3. एजेंट एकीकरण |
जहरीली SKILL.md फ़ाइलें, दुर्भावनापूर्ण निर्देश सेट, प्रतिकूल नियम फ़ाइलें |
अप्रैल 2026 तक कोई नहीं |
कोई भी उपकरण एजेंट अनुदेश फ़ाइलों के अर्थ संबंधी अर्थ का निरीक्षण नहीं करता है। बेयर: “हम इरादे का निरीक्षण नहीं कर रहे हैं।” |
सिस्को स्किल स्कैनर या स्निक एमसीपी-स्कैन तैनात करें। इस परत का स्वामी बनने के लिए एक टीम नियुक्त करें। |
बेयर का लेयर 3 का निदान पूरे मैट्रिक्स पर लागू होता है: “वर्तमान स्कैनर ज्ञात खराब कलाकृतियों की तलाश करते हैं, न कि अन्यथा वैध कौशल में अंतर्निहित प्रतिकूल निर्देशों की।” सिस्को का ओपन-सोर्स स्किल स्कैनर और स्निक का एमसीपी-स्कैन इस परत के लिए उद्देश्य से बनाए गए पहले टूल का प्रतिनिधित्व करते हैं।
सुरक्षा निदेशक कार्य योजना
यहां बताया गया है कि सुरक्षा नेता समस्या से कैसे आगे निकल सकते हैं।
पर्यावरण में प्रत्येक एजेंट ब्रिज टूल की सूची बनाएं। इसमें सीएलआई-एनीथिंग, एमसीपी कनेक्टर, कर्सर नियम फ़ाइलें, क्लाउड कोड कौशल, गिटहब कोपायलट एक्सटेंशन शामिल हैं। यदि विकास टीम एजेंट ब्रिज टूल का उपयोग कर रही है जिसका आविष्कार नहीं किया गया है, तो जोखिम का आकलन नहीं किया जा सकता है।
ऑडिट एजेंट कौशल स्रोत उसी तरह से होते हैं जिस तरह पैकेज रजिस्ट्रियों का ऑडिट होता है। बेयर की फ़्रेमिंग सटीक है: “एक कौशल प्रभावी रूप से अविश्वसनीय निष्पादन योग्य इरादा है, भले ही वह सिर्फ पाठ हो।” नियंत्रण स्थापित होने तक अनियंत्रित अंतर्ग्रहण पथों को बंद कर दें। कौशल के लिए एक समीक्षा और अनुमति सूची तैयार करें। OWASP एजेंटिक स्किल्स टॉप 10 (AST01: दुर्भावनापूर्ण कौशल) नियंत्रणों को संरेखित करने के लिए खरीद ढांचा प्रदान करता है।
एजेंट-लेयर स्कैनिंग तैनात करें। एजेंट निर्देश फ़ाइलों के व्यवहारिक विश्लेषण के लिए सिस्को के ओपन-सोर्स स्किल स्कैनर और स्निक के एमसीपी-स्कैन का मूल्यांकन करें। यदि समर्पित टूलींग उपलब्ध नहीं है, तो इंस्टॉलेशन से पहले प्रत्येक SKILL.md को पढ़ने के लिए एक दूसरे इंजीनियर की आवश्यकता होती है।
एजेंट निष्पादन विशेषाधिकार और उपकरण रनटाइम को प्रतिबंधित करें। एआई कोडिंग एजेंटों को उसी क्रेडेंशियल दायरे के साथ नहीं चलना चाहिए, जिस डेवलपर ने उन्हें लागू किया था। रीस ने संरचनात्मक दोष की पुष्टि की: फ्लैट प्राधिकरण विमान का मतलब है कि एक समझौता किए गए कौशल को विशेषाधिकारों को बढ़ाने की आवश्यकता नहीं है। बेयर का नुस्खा: “इंस्ट्रूमेंट रनटाइम अवलोकन। एजेंट किस डेटा तक पहुंच रहा है, वह क्या कार्रवाई कर रहा है, और क्या वे अपेक्षित व्यवहार के साथ संरेखित हैं?”
परतों के बीच के अंतर के लिए स्वामित्व निर्दिष्ट करें. सबसे खतरनाक हमले सफल होते हैं क्योंकि वे पहचान श्रेणियों के बीच आते हैं। एजेंट एकीकरण परत का स्वामी बनने के लिए एक टीम नियुक्त करें। पर्यावरण में प्रवेश करने से पहले प्रत्येक SKILL.md, MCP कॉन्फ़िगरेशन और नियम फ़ाइल की समीक्षा करें।
वह अंतर जिसका पहले से ही एक नाम है
बेयर ने इस नए आक्रमण वेक्टर के खतरों को रेखांकित किया। “यह प्रारंभिक कंटेनर सुरक्षा के समान ही लगता है, लेकिन अधिकांश संगठनों में हम अभी भी ‘हम इसे प्राप्त करेंगे’ चरण में हैं," उसने कहा। उन्होंने कहा कि, AWS में, कंटेनर सुरक्षा को टेबल स्टेक बनने से पहले कुछ हाई-प्रोफाइल वेक-अप कॉल की आवश्यकता थी। इस बार अंतर गति का है। “कोई बिल्ड पाइपलाइन नहीं है, कोई संकलन बाधा नहीं है। बस सामग्री," उसने कहा।
सीएलआई-कुछ भी खतरा नहीं है. यह इस बात का प्रमाण है कि एजेंट एकीकरण परत मौजूद है, कि यह तेजी से बढ़ रही है, और हमलावर समुदाय ने इसे पहले ही पा लिया है। रिपॉजिटरी में काम करने वाले 33,000 डेवलपर्स सुरक्षा टीमों को बता रहे हैं कि सॉफ्टवेयर विकास किस दिशा में जा रहा है। अठारह महीने पहले, एजेंट-एकीकरण-परत विषाक्तता का पता लगाने वाली श्रेणी मौजूद नहीं थी। सिस्को और स्निक ने इसके लिए पहला उपकरण अप्रैल में भेजा। उन दो तथ्यों के बीच की खिड़की बंद हो रही है। जिन सुरक्षा निदेशकों ने इन्वेंट्री शुरू नहीं की है वे पहले से ही पीछे हैं।
<a href