CLI-Anything: Một lệnh đơn giản biến bất kỳ kho mã nguồn nào thành cửa sau cho tác nhân AI

Chỉ mới hai tháng trước, các nhà nghiên cứu tại Data Intelligence Lab của Đại học Hồng Kông đã giới thiệu CLI-Anything. Đây là công cụ hiện đại có khả năng phân tích mã nguồn của bất kỳ kho lưu trữ (repo) nào và tạo ra giao diện dòng lệnh (CLI) có cấu trúc để các tác nhân AI lập trình có thể vận hành chỉ bằng một lệnh duy nhất.

CLI-Anything hỗ trợ Claude Code, Codex, OpenClaw, Cursor và GitHub Copilot CLI. Kể từ khi ra mắt vào tháng 3, dự án này đã thu hút hơn 30.000 sao trên GitHub. Tuy nhiên, chính cơ chế giúp phần mềm trở nên "thân thiện với tác nhân" này lại mở ra cánh cửa cho việc đầu độc ở cấp độ tác nhân.

Cộng đồng tấn công đã bắt đầu thảo luận về những hệ quả này trên các diễn đàn bảo mật, chuyển đổi kiến trúc của CLI-Anything thành các sách lược tấn công. Vấn đề bảo mật không nằm ở những gì CLI-Anything làm, mà ở những gì nó đại diện.

CLI-Anything tạo ra các tệp SKILL.md — cùng một loại hiện vật ở lớp hướng dẫn mà nghiên cứu ToxicSkills của Snyk đã phát hiện chứa 76 payload độc hại xác nhận trên ClawHub và skills.sh vào tháng 2 năm 2026. Một định nghĩa kỹ năng (skill) bị đầu độc không kích hoạt CVE và không bao giờ xuất hiện trong hóa đơn vật liệu phần mềm (SBOM). Không có trình quét bảo mật chính thống nào có danh mục phát hiện cho các hướng dẫn độc hại được nhúng trong định nghĩa kỹ năng của tác nhân, đơn giản vì danh mục này chưa tồn tại mười tám tháng trước.

Cisco đã xác nhận khoảng trống này vào tháng 4. "Các công cụ bảo mật ứng dụng truyền thống không được thiết kế cho việc này," nhóm kỹ thuật của Cisco viết trong một bài đăng blog giới thiệu trình quét bảo mật tác nhân AI cho IDE. "Các trình quét SAST [kiểm tra bảo mật ứng dụng tĩnh] phân tích cú pháp mã nguồn. Các công cụ SCA [phân tích thành phần phần mềm] kiểm tra phiên bản phụ thuộc. Không công cụ nào hiểu lớp ngữ nghĩa mà ở đó các mô tả công cụ MCP [Giao thức Ngữ cảnh Mô hình], prompt của tác nhân và định nghĩa kỹ năng hoạt động."

Merritt Baer, CSO của Enkrypt AI và cựu Phó CISO tại Amazon Web Services (AWS), cho biết trong một cuộc phỏng vấn độc quyền với VentureBeat: "SAST và SCA được xây dựng cho mã và phụ thuộc. Chúng không kiểm tra các hướng dẫn."

Đây không phải là lỗ hổng của một nhà cung cấp đơn lẻ. Đây là một khoảng trống cấu trúc trong cách toàn bộ ngành bảo mật giám sát chuỗi cung ứng phần mềm. Đây là cửa sổ trước khi bị khai thác. CLI-Anything đang hoạt động, cộng đồng tấn công đang thảo luận về nó, và các giám đốc bảo mật hành động ngay bây giờ sẽ đi trước báo cáo sự cố đầu tiên.

Lớp tích hợp mà không một ngăn xếp công nghệ nào nhìn thấy

Bảo mật chuỗi cung ứng truyền thống hoạt động trên hai lớp. Lớp mã là nơi SAST hoạt động, quét các tệp nguồn để tìm các mẫu không an toàn, lỗi tiêm và bí mật được mã hóa cứng. Lớp phụ thuộc là nơi SCA hoạt động, kiểm tra các phiên bản gói đối với các lỗ hổng đã biết, tạo SBOM và đánh dấu các thư viện lỗi thời.

Các công cụ cầu nối tác nhân như CLI-Anything, trình kết nối MCP, tệp quy tắc Cursor và kỹ năng Claude Code hoạt động trên lớp thứ ba nằm giữa hai lớp kia. Hãy gọi nó là lớp tích hợp tác nhân: các tệp cấu hình, định nghĩa kỹ năng và bộ hướng dẫn ngôn ngữ tự nhiên cho tác nhân AI biết phần mềm có thể làm gì và cách vận hành nó. Không cái nào trông giống mã. Tất cả đều thực thi như mã.

Carter Rees, Phó Chủ tịch AI tại Reputation, cho biết: "Các LLM hiện đại dựa vào các plugin của bên thứ ba, giới thiệu các lỗ hổng chuỗi cung ứng nơi các công cụ bị xâm nhập có thể tiêm dữ liệu độc hại vào luồng hội thoại, vượt qua đào tạo an toàn nội bộ."

Các nhà nghiên cứu từ Đại học Griffith, Đại học Công nghệ Nanyang, Đại học New South Wales và Đại học Tokyo đã tài liệu hóa chuỗi tấn công này trong một bài báo tháng 4 có tên "Supply-Chain Poisoning Attacks Against LLM Coding Agent Skill Ecosystems" (Các cuộc tấn công đầu độc chuỗi cung ứng chống lại hệ sinh thái kỹ năng tác nhân lập trình LLM). Nhóm đã giới thiệu Document-Driven Implicit Payload Execution (DDIPE), một kỹ thuật nhúng logic độc hại bên trong các ví dụ mã trong tài liệu kỹ năng.

Trên bốn khung tác nhân và năm mô hình ngôn ngữ lớn, DDIPE đạt được tỷ lệ vượt qua từ 11,6% đến 33,5%. Phân tích tĩnh bắt được hầu hết các mẫu, nhưng 2,5% đã lọt qua tất cả bốn lớp phát hiện. Việc tiết lộ có trách nhiệm đã dẫn đến bốn lỗ hổng được xác nhận và hai bản sửa lỗi của nhà cung cấp.

Chuỗi tấn công mà các lãnh đạo bảo mật cần kiểm toán

Dưới đây là giải phẫu của chuỗi tấn công: Một kẻ tấn công gửi tệp SKILL.md đến một dự án mã nguồn mở chứa hướng dẫn thiết lập, ví dụ mã và mẫu cấu hình. Nó trông giống như tài liệu tiêu chuẩn. Một người xem xét mã sẽ cho qua vì không có gì thực thi được. Nhưng các ví dụ mã chứa các hướng dẫn được nhúng mà tác nhân sẽ phân tích thành chỉ thị hoạt động.

Một nhà phát triển sử dụng công cụ cầu nối tác nhân để kết nối tác nhân lập trình của mình với kho lưu trữ. Tác nhân tiêu thụ định nghĩa kỹ năng và tin tưởng nó, vì không có lớp xác minh nào tồn tại để phân biệt ý định lành tính và độc hại ở cấp độ hướng dẫn.

Tác nhân thực thi hướng dẫn được nhúng bằng chính thông tin xác thực hợp lệ của nó. Hệ thống phát hiện và phản hồi điểm cuối (EDR) thấy một cuộc gọi API được phê duyệt từ một quy trình được ủy quyền và cho phép. Xuất dữ liệu, thay đổi cấu hình và thu thập thông tin xác thực đều đang di chuyển qua các kênh mà ngăn xếp giám sát coi là lưu lượng bình thường.

Rees đã xác nhận lỗi cấu trúc khiến chuỗi này trở nên chết người. "Một lỗ hổng đáng kể trong AI doanh nghiệp là kiểm soát truy cập bị hỏng, nơi mặt phẳng ủy quyền phẳng của LLM không tôn trọng quyền của người dùng," ông nói. Một định nghĩa kỹ năng bị xâm nhập đi trên mặt phẳng ủy quyền phẳng đó không cần nâng cao đặc quyền. Nó đã có chúng. Mọi mắt xích trong chuỗi đó đều vô hình với ngăn xếp bảo mật hiện tại.

Pillar Security đã chứng minh một biến thể của chuỗi này chống lại Cursor vào tháng 1 năm 2026 (CVE-2026-22708). Các lệnh shell tích hợp được tin tưởng ngầm có thể bị đầu độc thông qua tiêm prompt gián tiếp, chuyển đổi các lệnh nhà phát triển lành tính thành vectơ thực thi mã tùy ý. Người dùng chỉ thấy lệnh cuối cùng. Việc đầu độc xảy ra thông qua các lệnh khác mà IDE không bao giờ hiển thị để phê duyệt.

Bằng chứng đã có trong môi trường sản xuất

Trong một chuỗi tấn công được tài liệu hóa từ tháng 4 năm 2026, một tiêu đề vấn đề GitHub được tạo tác đã kích hoạt một bot phân loại AI được kết nối với Cline. Bot này đã xuất khẩu một GITHUB_TOKEN, kẻ tấn công sử dụng để xuất bản một phụ thuộc npm bị xâm nhập đã cài đặt tác nhân thứ hai trên khoảng 4.000 máy tính của nhà phát triển trong tám giờ. Chỉ có một tiêu đề vấn đề. Kẻ tấn công có tám giờ truy cập. Không có con người nào phê duyệt hành động.

Cuộc kiểm toán ToxicSkills của Snyk đã quét 3.984 kỹ năng tác nhân từ ClawHub, thị trường công khai cho khung tác nhân OpenClaw, và skills.sh vào tháng 2 năm 2026. Kết quả: 13,4% tất cả các kỹ năng chứa ít nhất một vấn đề bảo mật quan trọng. Các bài gửi kỹ năng hàng ngày tăng từ dưới 50 vào giữa tháng 1 lên hơn 500 vào đầu tháng 2. Rào cản để xuất bản chỉ là một tệp markdown SKILL.md và một tài khoản GitHub một tuần tuổi. Không có ký mã. Không có xem xét bảo mật. Không có sandbox.

OpenClaw không phải là trường hợp ngoại lệ. Nó là khuôn mẫu. "Ngưỡng gia nhập cực kỳ thấp," Baer nói. "Thêm một kỹ năng có thể đơn giản như tải lên một tài liệu Word hoặc tệp cấu hình nhẹ. Đó là hồ sơ rủi ro hoàn toàn khác so với mã được biên dịch." Bà chỉ ra các dự án như ClawPatrol đã bắt đầu lập danh mục và quét các kỹ năng độc hại, bằng chứng cho thấy hệ sinh thái đang di chuyển nhanh hơn các phòng thủ doanh nghiệp.

Chiến dịch ClawHavoc, được Koi Security báo cáo lần đầu vào cuối tháng 1 năm 2026, ban đầu xác định 341 kỹ năng độc hại trên ClawHub. Một phân tích tiếp theo của Antiy CERT đã mở rộng số lượng lên 1.184 gói bị xâm nhập trên nền tảng. Chiến dịch này phân phối Atomic Stealer (AMOS) thông qua các định nghĩa kỹ năng với tài liệu chuyên nghiệp. Các kỹ năng có tên là solana-wallet-tracker và polymarket-trader khớp với những gì nhà phát triển đang tích cực tìm kiếm.

Lớp giao thức MCP mang lại rủi ro tương tự. OX Security báo cáo vào tháng 4 rằng các nhà nghiên cứu đã đầu độc chín trong số mười một thị trường MCP bằng các máy chủ khái niệm (proof-of-concept). Trend Micro ban đầu tìm thấy 492 máy chủ MCP tiếp xúc với internet có xác thực bằng không; đến tháng 4, con số đó đã tăng lên 1.467. Như The Register đưa tin, vấn đề gốc rễ nằm trong cơ chế vận chuyển SDK phần mềm MCP của Anthropic. Bất kỳ nhà phát triển nào sử dụng SDK chính thức đều kế thừa lớp lỗ hổng này.

Ma trận kê đơn của VentureBeat: Kiểm toán chuỗi cung ứng tác nhân ba lớp

VentureBeat đã phát triển một Ma trận Kê đơn bằng cách ánh xạ ba lớp tấn công được tài liệu hóa trong nghiên cứu và báo cáo sự cố ở trên đối với các khả năng phát hiện của các công cụ SAST, SCA và công cụ lớp tác nhân hiện tại. Mỗi hàng xác định những gì nhóm bảo mật nên xác minh và nơi không có trình quét nào có phạm vi bảo hiểm hiện nay.

Lớp	Mối đe dọa	Phát hiện hiện tại	Tại sao bỏ sót	Hành động được khuyến nghị
1. Mã	Tiêm prompt trong mã do AI tạo	Trình quét SAST	Hầu hết các công cụ SAST không có danh mục phát hiện cho tiêm prompt trong mã do AI tạo	Xác nhận rằng SAST quét mã do AI tạo để tìm tiêm prompt. Nếu không, hãy có cuộc trò chuyện mở với nhà cung cấp trong quý này.
2. Phụ thuộc	Máy chủ MCP độc hại, kỹ năng tác nhân, sổ đăng ký plugin	Công cụ SCA	SCA không tạo hóa đơn vật liệu cụ thể cho AI. Các phụ thuộc lớp tác nhân là vô hình.	Xác nhận SCA bao gồm máy chủ MCP, kỹ năng tác nhân và sổ đăng ký plugin trong danh mục phụ thuộc.
3. Tích hợp tác nhân	Tệp SKILL.md bị đầu độc, bộ hướng dẫn độc hại, tệp quy tắc đối kháng	Không có cho đến tháng 4 năm 2026	Không công cụ nào kiểm tra ý nghĩa ngữ nghĩa của tệp hướng dẫn tác nhân. Baer: "Chúng tôi không kiểm tra ý định."	Triển khai Cisco Skill Scanner hoặc Snyk mcp-scan. Chỉ định một nhóm sở hữu lớp này.

Chẩn đoán của Baer về Lớp 3 áp dụng cho toàn bộ ma trận: "Các trình quét hiện tại tìm kiếm các hiện vật xấu đã biết, không phải các hướng dẫn đối kháng được nhúng trong các kỹ năng hợp lệ." Trình quét kỹ năng mã nguồn mở của Cisco và mcp-scan của Snyk đại diện cho những công cụ đầu tiên được xây dựng dành riêng cho lớp này.

Kế hoạch hành động cho giám đốc bảo mật

Dưới đây là cách các lãnh đạo bảo mật có thể đi trước vấn đề.

Kiểm kê mọi công cụ cầu nối tác nhân trong môi trường. Điều này bao gồm CLI-Anything, trình kết nối MCP, tệp quy tắc Cursor, kỹ năng Claude Code và tiện ích mở rộng GitHub Copilot. Nếu nhóm phát triển đang sử dụng các công cụ cầu nối tác nhân chưa được kiểm kê, rủi ro không thể được đánh giá.

Kiểm toán nguồn kỹ năng tác nhân giống như cách các sổ đăng ký gói được kiểm toán. Cách diễn đạt của Baer rất chính xác: "Một kỹ năng thực chất là ý định thực thi không đáng tin, ngay cả khi nó chỉ là văn bản." Ngắt các đường dẫn tiêu thụ không được quản lý cho đến khi các biện pháp kiểm soát được đưa vào. Thiết lập quy trình xem xét và cho phép (allowlisting) cho các kỹ năng. OWASP Agentic Skills Top 10 (AST01: Malicious Skills) cung cấp khung mua sắm để điều chỉnh các biện pháp kiểm soát.

Triển khai quét lớp tác nhân. Đánh giá Trình quét kỹ năng mã nguồn mở của Cisco và mcp-scan của Snyk để phân tích hành vi của các tệp hướng dẫn tác nhân. Nếu không có công cụ chuyên dụng, hãy yêu cầu một kỹ sư thứ hai đọc mọi tệp SKILL.md trước khi cài đặt.

Hạn chế đặc quyền thực thi tác nhân và đo lường thời gian chạy. Các tác nhân lập trình AI không nên chạy với cùng phạm vi thông tin xác thực như nhà phát triển đã gọi chúng. Rees đã xác nhận lỗi cấu trúc: Mặt phẳng ủy quyền phẳng có nghĩa là một kỹ năng bị xâm nhập không cần nâng cao đặc quyền. Đơn thuốc của Baer: "Đo lường khả năng quan sát thời gian chạy. Tác nhân đang truy cập dữ liệu nào, thực hiện hành động nào, và những điều đó có phù hợp với hành vi mong đợi không?"

Chỉ định quyền sở hữu cho khoảng trống giữa các lớp. Các cuộc tấn công nguy hiểm nhất thành công vì chúng rơi vào giữa các danh mục phát hiện. Chỉ định một nhóm sở hữu lớp tích hợp tác nhân. Xem xét mọi tệp SKILL.md, cấu hình MCP và tệp quy tắc trước khi nó đi vào môi trường.

Khoảng trống đã có tên

Baer nhấn mạnh những nguy hiểm của vectơ tấn công mới này. "Cảm giác này rất giống với bảo mật container thời kỳ đầu, nhưng chúng tôi vẫn ở giai đoạn 'sẽ làm sau' ở hầu hết các tổ chức," bà nói. Bà thêm rằng, tại AWS, đã mất một vài cuộc gọi thức giấc nổi tiếng trước khi bảo mật container trở nên thiết yếu. Sự khác biệt lần này là tốc độ. "Không có đường ống xây dựng, không có rào cản biên dịch. Chỉ có nội dung," bà nói.

CLI-Anything không phải là mối đe dọa. Nó là bằng chứng cho thấy lớp tích hợp tác nhân tồn tại, rằng nó đang phát triển nhanh chóng và cộng đồng tấn công đã tìm thấy nó. 33.000 nhà phát triển đã sao starred dự án đang nói với các nhóm bảo mật rằng phát triển phần mềm đang hướng đi đâu. Mười tám tháng trước, danh mục phát hiện cho việc đầu độc lớp tích hợp tác nhân không tồn tại. Cisco và Snyk đã tung ra các công cụ đầu tiên cho nó vào tháng 4. Cửa sổ giữa hai sự thật đó đang đóng lại. Các giám đốc bảo mật chưa bắt đầu kiểm kê đã bị tụt hậu.