I ricercatori di AIR hanno costruito una skill AI fasulla, l’hanno caricata su un marketplace e promossa via Instagram, e l’hanno vista raggiungere 26.000 agenti — inclusi account aziendali — senza che un singolo scanner di sicurezza la rilevasse come pericolosa. L’arma? Un link esterno modificabile dopo il superamento dei controlli.
Il problema che nessuno vuole ammettere: i marketplace di skill AI sono fondamentalmente insicuri
Nel giro di pochi mesi, le “skill” per agenti AI sono diventate il nuovo npm: pacchetti di codice che estendono le capacità degli assistenti AI, installabili con un click, fidandosi di valutazioni, stelle GitHub e reputazione open source. E come npm nel 2018, stanno diventando un vettore di attacco privilegiato.
Il team di ricerca AIR ha deciso di quantificare il problema invece di teorizzarlo. Ha costruito una skill malevola, l’ha caricata su un marketplace di agenti, e ha tracciato la sua diffusione. Il risultato è al tempo stesso prevedibile e allarmante: 26.000 agenti installanti, inclusi account riconducibili a organizzazioni aziendali, e zero rilevamenti da parte degli scanner di sicurezza testati.
La tecnica: il mutable link come cieco spot nelle pipeline di vetting
Il cuore tecnico dell’attacco è una tecnica elegante che sfrutta un’assunzione implicita nei sistemi di vetting delle skill: che il codice analizzato al momento della scansione sia lo stesso codice che verrà eseguito dopo l’installazione.
La skill creata da AIR conteneva un riferimento a un link esterno — non il payload direttamente, ma un URL che punta a un file remoto caricato al momento dell’esecuzione. Durante la fase di scansione, quel link puntava a codice benigno. Dopo che la skill aveva superato tutti i controlli e veniva distribuita agli agenti, il contenuto del link remoto poteva essere sostituito con payload arbitrari.
# Schema semplificato della tecnica mutable link
# Fase 1 - durante la scansione di sicurezza:
skill.execute() → fetch(external_link) → returns: benign_code.py → PASS
# Fase 2 - dopo approvazione e distribuzione:
skill.execute() → fetch(external_link) → returns: malicious_payload.py → EXEC
# Il contenuto di external_link è controllato dall'attaccante
# e può essere modificato in qualsiasi momento dopo il vettingAIR ha mantenuto il payload effettivo completamente innocuo — raccogliendo solo l’indirizzo email dell’utente — per rispettare l’etica della ricerca. Ma la dimostrazione è cristallina: la stessa tecnica avrebbe potuto distribuire qualsiasi payload: infostealer, accesso remoto, exfiltration di credenziali API, manipolazione delle risposte del modello LLM.
Nessuno dei segnali di fiducia ha funzionato
Quello che rende questo esperimento particolarmente significativo non è la tecnica in sé — varianti del “mutable dependency” attack sono note nell’ecosistema npm e PyPI — ma il fatto che nessuno dei meccanismi su cui gli utenti si affidano per valutare la sicurezza di una skill abbia funzionato:
- Scanner automatici di sicurezza: tutti i tool testati da AIR hanno classificato la skill come sicura. L’analisi statica del codice non può rilevare comportamenti che dipendono da contenuto remoto mutabile.
- Stelle GitHub e reputazione open source: indicatori di popolarità, non di sicurezza. La skill aveva un repository pubblico con codice apparentemente innocuo.
- Revisione manuale del codice sorgente: la skill era tecnicamente open source — ma il punto è che il codice rilevante non è nel repository, è sul server remoto.
- Provenienza del publisher: un account creato ad hoc senza storia precedente ha comunque raggiunto 26.000 installazioni.
Il contesto: 2026 è l’anno zero della sicurezza agentica
Questa ricerca arriva in un momento di crescente preoccupazione per la sicurezza dei marketplace di skill per agenti AI. A gennaio 2026, la campagna ClawHavoc aveva sistematicamente compromesso oltre 1.184 skill nel marketplace ClawHub di OpenClaw — circa una su cinque — con infostealer che raccoglievano chiavi API LLM, chiavi SSH private, password salvate nel browser e dati di wallet crittografici.
Il pattern si ripete con caratteristiche comuni: gli attacchi sfruttano la fiducia implicita che gli utenti ripongono nei marketplace ufficiali, l’assenza di standard di sicurezza stringenti per la pubblicazione delle skill, e la difficoltà strutturale di ispezionare comportamenti dinamici con tool di analisi statica.
Il problema è aggravato dalle caratteristiche peculiari degli agenti AI rispetto ai software tradizionali. Una skill malevola installata su un agente non è solo malware che gira su un host: è codice che opera con i permessi dell’agente, ha accesso ai contesti delle conversazioni, può esfiltrare prompt e risposte, manipolare le istruzioni che l’agente riceve e potenzialmente propagarsi attraverso le funzioni di collaborazione tra agenti.
Vettore di distribuzione: Instagram come canale di diffusione
Un dettaglio operativo significativo dell’esperimento AIR è il canale di distribuzione utilizzato: oltre alla pubblicazione sul marketplace, la skill è stata promossa tramite annunci Instagram. Questo rivela come gli attori malintenzionati non si limitino ai canali tecnici per diffondere skill pericolose — le piattaforme social diventano un amplificatore efficace per raggiungere utenti che cercano funzionalità specifiche per i loro agenti.
La combinazione marketplace + social advertising è particolarmente efficace perché mima esattamente come vengono promosse le skill legittime: sviluppatori e piccoli vendor usano i social per aumentare la visibilità dei propri strumenti. Non c’è un segnale d’allarme visibile per l’utente finale.
Due righe per i difensori: cosa fare adesso
La ricerca AIR lascia i team di sicurezza con un problema concreto: come valutare la sicurezza delle skill AI installate in ambiente aziendale quando gli strumenti attuali non sono adeguati?
- Inventario delle skill installate: avere visibilità su quali skill sono attive negli agenti AI aziendali è il prerequisito minimo. Molte organizzazioni non hanno ancora questo controllo di base.
- Policy di approvazione centralizzata: analogamente ai criteri di approvazione per le estensioni browser o i plugin IDE, le skill AI dovrebbero essere soggette a un processo di vetting prima dell’uso in contesti aziendali.
- Sandbox per l’esecuzione delle skill: isolare l’esecuzione delle skill in ambienti sandboxed può limitare il raggio d’azione di una skill compromessa, impedendole di accedere a credenziali, file system o rete aziendale.
- Monitoraggio delle connessioni in uscita: le skill che stabiliscono connessioni HTTP verso URL esterni non strettamente necessari alla loro funzione dichiarata dovrebbero generare alert nel sistema di monitoraggio.
- Diffidare del dynamic loading: skill che caricano codice da URL remoti dovrebbero essere trattate con la stessa cautela con cui si trattano i loader malware nel contesto tradizionale.
Il nodo irrisolto: chi è responsabile della sicurezza dei marketplace?
La ricerca AIR apre una questione di governance che l’industria non ha ancora risolto: chi è responsabile della sicurezza in un marketplace di skill AI? I marketplace stessi hanno incentivi a crescere rapidamente e a ridurre le frizioni per i publisher. I vendor di agenti AI scaricano spesso la responsabilità sugli utenti finali. I publisher di skill, se malintenzionati, ovviamente non si auto-regolano.
Il risultato è un ecosistema in cui 26.000 agenti — inclusi probabilmente molti in contesti aziendali — possono essere raggiunti da codice arbitrario, e nessuno ha strumenti adeguati per rilevarlo prima che accada. Un problema familiare a chiunque abbia vissuto l’evoluzione della sicurezza dell’ecosistema npm o PyPI — con la differenza che gli agenti AI operano con privilegi e accessi molto più estesi di una libreria Node.js.