Skills je nová funkcionalita systému umělé inteligence Claude od společnosti Anthropic, která umožňuje jeho uživatelům vytvářet a sdílet vlastní moduly kódu, které rozšiřují jeho možnosti a zefektivňují pracovní postupy. Od svého uvedení v říjnu 2025 získala tato funkce velkou oblibu, uživatelé jí na portálu GitHub udělili již více než 17 tisíc hvězdiček. Laboratoř pro výzkum kybernetických hrozeb CTRL společnosti Cato Networks nyní odhalila závažnou bezpečnostní mezeru v tom, jak jsou funkce Skills prováděny.
Výzkum ukázal, že jen drobné úpravy legitimního modulu Skills mohou stačit k provádění skryté škodlivé činnosti, mimo jiné i ke spuštění ransomvaru, přičemž vše vypadá zcela v pořádku.
I v nejpřísnějším bezpečnostním režimu Claude vidí uživatelé pouze výzvy k povolení kódu a zkontrolovaný kód, který vypadá bezpečně. Takto viditelná je však pouze část toho, co se ve skutečnosti spouští. S jedinou autorizací mohou být prováděny i další operace (legitimní i nelegitimní), přičemž uživatel má falešný pocit bezpečí.
Inga Cherny a její kolegové z týmu Cato CTRL dokázali Claude Skills v kontrolovaném testovacím prostředí zneužít k provedení útoku ransomwarem MedusaLocker; jinak důvěryhodný modul Skills spustil ransomware v rámci jediného kontextu schvalování. Vzhledem k tomu, že moduly Skills lze volně sdílet prostřednictvím veřejných úložišť a sociálních kanálů, by se takový užitečný a zdánlivě „produktivní“ modul mohl snadno šířit prostřednictvím sociálního inženýrství a fungovat jako vektor pro šíření malwaru.
Protože společnost Anthropic obsluhuje více než 300 000 firemních zákazníků, z nichž mnozí mají její produkty nasazené napříč celým podnikem, existuje zde tedy potenciál i pro rozsáhlý ransomwarový útok. Stačí k tomu, aby jediný zaměstnanec schválil jediný modul Skills, přesvědčivě zabalený tak, aby jeho škodlivá činnost nebyla na první pohled patrná.
Společnost Cato informovala společnost Anthropic o problému. Podle odpovědi společnosti Anthropic jsou funkce Skills záměrně navrženy tak, aby prováděly kód a při jeho spuštění se uživateli zobrazí dialog. Tým Cato CTRL ovšem v této souvislosti upozorňuje, že jakmile je daná funkce jednou schválena, získává trvalá oprávnění ke čtení/zápisu souborů, stahování nebo provádění dalšího kódu a otevírání odchozích připojení, a to vše bez dalších dialogů nebo viditelnosti pro uživatele. Uživatelé tak schvalují to, co vidí na první pohled, ale skryté pomocné programy mohou vedle toho trvale provádět na pozadí další citlivé akce. Spuštění kódu modulu Skills se přitom vykonává s přístupem k místnímu prostředí, včetně souborového systému a sítě.
Tým Cato CTRL demonstroval problém následujícím postupem. Vyšel z oficiálního open source modulu Skill GIF Creator přímo od společnosti Anthropic, který je k dispozici v repozitáři GitHub. Tento modul provádí jednoduchý, legitimní úkol: generování animovaných GIFů z uživatelských vstupů. Výzkumníci provedli pouze jedinou drobnou úpravu – přidali legitimně vypadající pomocnou funkci. Na první pohled se zdálo, že tato funkce pouze vylepšuje pracovní postup modulu Skills tím, že provádí následné zpracování výstupního GIFu. Ve skutečnosti však úprava poskytovala mechanismus pro tiché načtení a spuštění externího skriptu bez dalších výzev nebo viditelnosti pro uživatele. Tímto způsobem se kaskádou stahování v kontrolovaném testovacím prostředí podařilo načíst a spustit ransomware.
Klíčovým problémem není samotné spouštění kódu, ale co uživatel vidí při schvalování funkce Skills. Popsaný způsob zneužití lze snadno replikovat v jakémkoliv sdíleném nebo open source modulu. Stačí několik řádků kódu uvnitř pomocné funkce, které pak vyvolají skryté operace, jako je zašifrování souborů nebo exfiltrace dat. Moduly Skills se rychle šíří prostřednictvím repozitářů Git, fór a příspěvků na sociálních médiích a škodlivá varianta může být snadno maskovaná jako neškodné vylepšení produktivity původní funkce.
Tým Cato CTRL doporučuje pro snížení uvedených bezpečnostních rizik při práci s Claude Skills nebo podobnými funkcemi používat následující bezpečnostní opatření:
- Spouštějte moduly v izolovaném prostředí (v sandboxu nebo virtuálním stroji) s omezenými oprávněními k souborovému systému a síti.
- Zacházejte s moduly Skills jako se spustitelnými soubory, používejte stejná bezpečnostní opatření jako u stažených skriptů nebo binárních souborů.
- Ověřujte zdroj a kód: Používejte pouze moduly Skills z důvěryhodných zdrojů.
- Sledujte a zaznamenávejte aktivitu: Sledujte zápisy do souborů, vytváření podprocesů a odchozí připojení, což umožní včas odhalit průvodní známky případného zneužití.
Další informace (v angličtině) naleznete zde: https://www.catonetworks.com/blog/cato-ctrl-weaponizing-claude-skills-with-medusalocker/
O skupině Cato CTRL
Cato CTRL (Cyber Threats Research Lab) je první skupinou CTI (Cyber Threat Intelligence) na světě propojující zpravodajství o hrozbách s granulárním přehledem o sítích, jak to umožňuje globální platforma SASE společnosti Cato Networks. Díky spojení desítek bývalých vojenských zpravodajských analytiků, výzkumníků, datových vědců, akademiků a uznávaných bezpečnostních odborníků využívá Cato CTRL síťová data, data z bezpečnostních zásobníků, stovky kanálů o zabezpečení, lidskou inteligenci, umělou inteligenci i strojové učení, aby osvětlila nejnovější kybernetické hrozby a jejich aktéry.