ローカルモデルプロンプトインジェクションスキャナー for AIスキルセキュリティ

AIスキルのセキュリティ脆弱性
Xでの議論で、サードパーティのAIスキルに深刻なセキュリティ上の欠陥が指摘されました。Claude Codeはスキル内で直接bashコマンドを実行する!演算子をサポートしていますが、これらの演算子はHTMLタグ内に隠される可能性があり、LLMが認識しないままbash実行が行われる恐れがあります。
ローカルスキャナーの実装
インストール時にスキル内の潜在的なマルウェアインジェクションをスキャンする概念実証ツールが構築されました。このスキャナーは、ローカルで実行される非ツール呼び出しモデル、具体的にはOllama上のmistral-small:latestを使用します。作成者はテスト中に「完璧に機能した」と報告しています。
このアプローチはウイルススキャナーと同様に機能し、将来の「スキルインストーラー」製品に統合される可能性があります。プロンプトインジェクションに対する保護は、ローカルモデルの有望な応用分野として特定されています。
技術的詳細
この脆弱性は、直接bashコマンド実行を可能にするClaude Codeの!演算子に関連しています。攻撃者はこれらの演算子をHTMLタグ内に隠すことで、LLMの知らないうちに悪意のあるコマンドを実行する可能性があります。スキャナーは、インストール前にスキルを分析してこのような隠れたインジェクションを検出することで、この問題に対処します。
📖 完全なソースを読む: r/LocalLLaMA
👀 See Also

OpenClawがプロダクティビティ・プレイブックから怪しいスクリプトをブロックし、その後ファイナンシャル・ワークブックの構築を続けた
ユーザーがOpenClawに怪しい生産性向上プレイブックのzipを渡したところ、OpenClawはスクリプトの実行を拒否し、スキルディレクトリへの自動インストールを警告。代わりに内蔵スキルを使って手動でワークブックを作成した話。

MCPサンドボックス:信頼せずにMCPサーバーを隔離されたコンテナで実行
開発者がMCP Sandboxを構築しました。これは、MCPサーバーを隔離されたgVisorコンテナで実行し、デフォルトでネットワークアクセスを拒否し、安全なシークレット注入を実現するほか、実行前のCVEスキャンとパターンチェックも行います。

クラウドコードの計装およびテレメトリ能力の分析
ソースコード分析により、Claude Codeがキーワードベースの感情分類、許可プロンプトの躊躇モニタリング、詳細な環境フィンガープリンティングを含む広範な行動追跡を実装していることが明らかになりました。

Sieve: AIコーディングツールチャット履歴のローカルシークレットスキャナ
Sieveは、Cursor、Claude Code、CopilotなどのAIコーディングアシスタントのチャット履歴をスキャンし、漏洩したAPIキーやトークンを検出します。すべてのスキャンはローカルで実行され、秘匿化とmacOSキーチェーン保管に対応しています。