Claude Skills podem ser usadas para distribuir MedusaLocker, diz pesquisa | Riscos e Ameaças

Pesquisa da Cato CTRL mostra que o modelo de autorização das Claude Skills permite a execução de helper functions que baixam e executam código sem nova aprovação, possibilitando entrega de malware como MedusaLocker a partir de Skills aparentemente legítimas.

Pesquisadores demonstraram que o modelo de permissões das chamadas Claude Skills pode ser manipulado para baixar e executar código malicioso, transformando Skills aparentemente legítimas em vetores para ransomware.

O que foi demonstrado

Analistas do Cato CTRL adaptaram um Skill legítimo (o "GIF Creator") para incluir uma função auxiliar (postsave) que aparentava realizar pós-processamento, mas, na prática, fazia o download e execução silenciosa de um script externo. Esse fluxo permite que subprocessos herdem o mesmo nível de confiança após a autorização inicial, criando um vetor de execução de malware sem novas solicitações ao usuário.

Vetores e risco prático

Segundo a matéria, o modelo de confiança de uma única autorização presente em Claude Skills é o núcleo do problema: após o usuário consentir na execução do Skill original, helper functions podem operar livremente em background. Os pesquisadores demonstraram que isso pode ser usado para entregar cargas maliciosas, citando especificamente o MedusaLocker como exemplo de ransomware que poderia ser acionado pelo mecanismo.

Impacto potencial

Fonte da demonstração: Cato Networks (pesquisa Cato CTRL)
Vetores: Skills públicas ou distribuídas em repositórios e redes sociais
Consequência: instalação silenciosa de malware, potencial comprometimento de estações de trabalho e lateral movement em redes corporativas

A facilidade de distribuição de Skills e a confiança automática atribuída após a primeira autorização tornam o risco escalável — um único colaborador instalando um Skill malicioso pode, em tese, desencadear um incidente corporativo de ransomware.

Mitigações e observações

A matéria descreve a técnica de prova de conceito e expõe a lacuna no modelo de consentimento. Não há, no conteúdo consultado, declaração direta da Anthropic com contramedidas ou cronograma de correção. As fontes sugerem atenção a repositórios de Skills e revisão de políticas de uso de assistentes e integrações que executam código.

Limitações

O artigo não lista casos reais de exploração em produção nem descreve variantes do ataque em larga escala; trata-se de uma demonstração que evidencia um design de segurança frágil. A maneira exata como ambientes empresariais mitigariam o risco (por exemplo, controles de execução ou sandboxing) não é detalhada nas matérias consultadas.

Relevância para defesa

Equipes de segurança precisam considerar políticas de governança para instalação de Skills/plug-ins, restringir origens confiáveis e monitorar atividades de processos que executam downloads ou novos binários a partir de assistentes baseados em AI. O caso ilustra como recursos de extensibilidade em modelos generativos podem introduzir vetores clássicos de entrega de malware.

Fonte: Cyber Security News (citando Cato Networks)