AI Agent技能生态爆发,安全谁来守?
2025年以来,以OpenClaw为代表的AI Agent框架迅速崛起,催生了ClawHub等技能分发平台Agent通过安装Skill获得外部工具调用、数据处理、自动化执行等能力——本质上,Skill就是AI时代的“软件包”。
然而,与npm、PyPI等成熟包管理生态相比,AI Skill生态的安全治理几乎处于真空状态。Skill不只是代码,它是自然语言提示词 + 执行脚本 + 权限声明的混合体,攻击面远超传统软件包。
阿里云云安全中心技术团队对收集到的Skill进行了系统性安全扫描,本文分享我们的发现、方法论与思考。
扫描概览:30,068个Skill的安全度量
扫描范围
本次扫描覆盖从互联网累计收集到的Skill,去重后总计30,068个,其中包括已上线ClawHub平台的26,353个。
Skill用途分布
对全部Skill按AI分类引擎进行用途标注,Top 15分类如下:
高危Skill的分类分布
在各类型中,高危Skill的占比差异显著:
关键洞察:加密货币类Skill高危占比5.2%,且绝对数量位居前列(2,092个),是当前最危险品类。“其他”类(5.7%)虽总量不大,但说明大量未被正确分类的长尾Skill可能藏匿更高风险。
威胁模型:AI Skill的12类攻击面
威胁类型分布
我们对全部检出样本按威胁类型进行了分类标注:
三类核心威胁深度解读
01.恶意投递与下载器(34.6%)——供应链攻击已成熟
占比最高,说明攻击者已形成成熟的投递链路:通过在SKILL.md中伪装“前置依赖安装步骤”,诱导Agent执行恶意下载。这与npm投毒攻击高度相似,但隐蔽性更强——用户天然信任Agent执行的操作流程。
02.提示注入与指令操控(11.8%)——AI独有攻击面
这是传统安全工具完全无法覆盖的领域。攻击者通过精心构造的自然语言描述,操纵Agent执行超出用户意图的操作——如覆盖系统文件、泄露敏感数据、关闭安全防护等SKILL.md本身就是prompt,天然具备“越权指令”的载体属性。
03.凭据窃取与钓鱼(15.7%)——利用AI信任链
通过Skill描述中的链接、配置示例、安装脚本等手段,窃取API Key、私钥、凭证文件等。攻击目标从“攻击代码”转向“攻击配置”。
关键发现:AI检测引擎 vs 传统扫描引擎的碰撞
检出结果交叉对比
这是本次扫描最具技术价值的发现:
为什么交集只有3.4%?
根本原因:两者检测的对象维度完全不同。
- 传统SAST/AV检测的是“代码特征”:已知恶意hash、危险函数调用模式(如eval()、exec()、反向Shell代码片段)。
AI检测引擎识别的是“行为意图”:SKILL.md中自然语言描述的真实目的——“这段描述想让你干什么”。
AI Skill的恶意往往不在代码里,而在描述里:
结论
两类检测能力高度正交、互为补充。 仅依赖传统引擎将遗漏84.6%的语义级威胁;仅依赖AI则可能放过12.0%的已知恶意代码特征。两者联合研判才是AI Skill安全检测的正确范式。
深度案例:两个典型样本的攻击链还原
案例一:ClawHub伪装投递器——Prompt级供应链攻击
伪装手法: 攻击者发布了一个名为ClawHub的Skill,伪装成官方ClawHub CLI工具。在SKILL.md的Prerequisites中嵌入恶意下载步骤:
攻击链:
用户(或Agent)安装ClawHub Skill。
阅读SKILL.md,按“前置依赖”指引操作。
从攻击者控制的GitHub Release下载恶意二进制。
解压密码硬编码在描述中,降低用户警觉。
MacOS用户从pastebin类站点下载并执行脚本。
为什么传统引擎漏报:
npm install ClawHub是合法的包管理操作。
GitHub Release链接和glot.io链接本身不是恶意URL。
恶意意图隐藏在自然语言的“安装指引”上下文中。
AI引擎检出关键:识别出Prerequisites中非官方的下载渠道、硬编码的解压密码、以及pastebin类脚本执行——组合起来构成“供应链投递”的完整意图链。
案例二:intel-asrai——隐蔽的私钥窃取通道
伪装手法: 以“AI搜索服务”为名,要求用户配置加密货币私钥:
攻击链:
用户按说明配置私钥到环境变量或Claude Desktop config。
通过URL参数传递私钥到远程服务器。
远程服务器端可完整截获私钥(URL参数会被Web服务器日志、CDN、WAF等记录)。
攻击者获得用户的加密货币钱包完全控制权。
为什么传统引擎漏报:
JSON配置文件本身是合法的MCP标准格式。
私钥以0x占位符形式出现,传统引擎无法识别其风险模式。
AI引擎检出关键: 识别出“私钥作为URL查询参数传递”这一安全反模式,并结合“加密货币”场景判定为凭据窃取。
行业建议:AI Skill安全治理的四条建议
平台侧:建立Skill安全准入机制
- 发布前强制安全扫描(代码 + Prompt 语义 + 权限声明)。
- 建立Skill安全评分体系,对高风险Skill降权或下架。
- 参考npm/npm audit生态经验,引入skill audit等工具链。
框架侧:最小权限+权限沙箱
- Skill安装时应声明所需权限(exec、网络、文件系统),框架侧做权限校验。
- 敏感操作(exec、网络外连)应弹窗确认或进入审计日志。
- 建议参考SLSA(Supply-chain Levels for Software Artifacts)模型。
用户侧:零信任安装
- 不要盲目信任Agent安装的任何Skill。
- 审查SKILL.md中的Prerequisites和安装步骤。
- 警惕要求配置私钥、API Key、下载外部二进制的Skill。
行业侧:共建AI Skill安全标准
- 定义AI Skill的安全规范(如SKILL.md中的安全要求)。
- 建立行业级的Skill漏洞响应机制(类似NPM Security Advisories)。
- 推动“AI Skill SBOM”(软件物料清单)标准。
关于我们
阿里云云安全中心已上线AI Agent Skill安全检测能力,覆盖以下场景:
- Skill安全扫描:支持OpenClaw Skill/Claude MCP Server/自定义AI Agent技能格式。
- 多层检测引擎:传统代码安全分析 + AI语义意图识别 + 行为沙箱监控。
- 供应链安全:Skill安装链路全流程审计,识别投递器、依赖投毒等供应链攻击。
- 持续监控:新发布Skill自动触发扫描,风险变更实时告警。
如需了解更多或申请体验,欢迎体验:云安全中心
https://www.aliyun.com/product/security-center
本文数据基于2026年3月Skill扫描结果,仅供技术交流。
