文章总结： 本文分析了智能体发展中SkillNet带来的新型AI安全风险。指出安全重心已从提示词泄露转向Skills供应链治理，详细预测了检索投毒、关系图投毒、持久化攻击、权限滥用及跨平台传播等六大风险。文章强调攻击者可操纵Skills影响智能体决策，需重点关注能力平面的供应链安全建设以应对系统性威胁。 综合评分： 85 文章分类： AI安全,供应链安全,漏洞分析,安全建设,威胁情报

基于智能体的skills知识图谱—SkillNet代表的未来新型AI安全攻击风险预测

原创

人总要充满希望 人总要充满希望

Security for AI

2026年3月2日 16:11 韩国

0x01 引言

随着大模型从对话走向智能体，安全问题的重心也在悄然变化。过去，研究者更关注系统提示词泄露、提示注入和工具调用失控，因为这些问题直接决定模型会不会偏离原始目标、会不会执行错误动作、会不会泄露敏感信息等等。随着Skills的出现，当智能体下一个发展趋势会开始依赖可检索、可组合、可回流的Skils基础设施时，风险边界已经不再停留在单次会话和单个提示词上，而是进一步扩展到了skills来源、skills筛选、skills关系、skills执行与经验沉淀的整个生命周期。

SkillNet是最近新兴的一个概念，它试图把分散在代码仓库、文档、执行轨迹和任务经验中的skills，组织为一个可搜索、可调用、可演化的skills网络。这种能力对于提升智能体复用效率和任务表现具有明显价值，但也意味着攻击者拥有了新的切入点。谁能影响skills的描述方式、关系结构、检索排序、评估结果和执行闭环，谁就可能在不直接接触系统提示词的情况下，慢慢改变智能体看到什么、选择什么、执行什么，最终把一次局部偏差放大为持续性、供应链式和跨平台传播的系统风险。也正因如此，围绕SkillNet展开安全分析，不只是对单一项目的讨论，更是在观察下一阶段智能体安全的前沿风险。因此，本文将基于这种发展趋势进行风险预测，仅代表个人观点。

0x02 SkillNet工作架构

SkillNet不是单纯的skills列表，而是一个把skills发现、skills创建、skills评估、skills关系分析和代理执行闭环串起来的基础设施。SkillNet的skills候选规模超过20万，高质量skills节点超过15万，它会把并把数据来源写成GitHub、数据集、智能体轨迹等多源输入。同时支持搜索现有skills、从GitHub仓库和文档等来源自动创建skills。

从这个工作架构来说，意味着SkillNet的安全问题不能只按传统模型和智能体安全来理解。它更接近一个面向Agent的skills注册表、关系图谱和经验回流系统。只要系统从单次推理走向长期积累，攻击面就不再只在当前会话，而会扩展到skills来源、skills打分、skills检索、skills图关系、执行权限和skills回流的整个生命周期。

0x03 为什么Skillnet会把攻击面从提示词扩展到供应链?

Anthropic在2025年发布Agent Skills时，把skills定义成可被重复调用的外部能力包，并强调它们是可组合、可移植、可在需要时按任务加载的组件。skills可以包含SKILL.md、脚本和资源文件，同时明确提醒只应从可信来源安装skills，并且安装后要充分测试。这和传统软件供应链很相近：skills不再只是几段静态提示，而是一个既可能携带文本规则、也可能携带脚本和资源的执行包。。

而一旦SkillNet把这些skills以统一方式组织起来，安全边界就自然外移了。过去你主要担心谁能改系统提示词，现在你还要担心谁能提交skills、谁能影响skills描述、谁能抬高某个skills在搜索里的可见度、谁能改变skills与skills之间的关系、谁能让一次错误执行被沉淀成未来任务的默认经验。SkillNet不是在替代提示词安全，而是在把攻击面从对话层扩成供应链层、编排层和记忆层

0x04 skills面临的风险

如果直接把skills当成攻击目标。论文arXiv2602.20156把攻击面落到skills文件本身，论文研究出在两Agent中，skills文件注入的攻击成功率可达80%。另一篇2026年的论文《Malicious Agent Skills in the Wild: Risks and Threats in Agentic Marketplace》中分析了上万个公开skills，其中发现100余个个恶意skills、多处安全漏洞，并把恶意skills分成窃取数据和劫持智能体两类，还指出品牌伪装占已观察恶意skills的54.1%。通过这两个论文的研究，我们可以看出skills生态的风险已经从理论推演进入了实证阶段。

同时如果skills、工具、元数据、记忆和执行权限之间结合在一起，那么就会构成一个连续攻击面。

0x05 风险一预测：skills检索投毒

SkillNet支持关键词检索和向量检索，也强调在开始新任务前先搜索现有skills。只要检索是任务入口，谁能影响检索结果，谁就能影响Agent优先看到什么。那么skills检索就存在被投毒的风险

这里的核心并不是把skills做成明显恶意，而是让恶意skills在检索语义上看起来比正常skills更相关、更像官方版本、更像高质量实践。对攻击者来说，这比正面对抗系统提示词更经济。因为他不用先突破当前会话的安全规则，只要让Agent优先选中错误skills，后面的执行链就会自己向投毒的风险方向滑动。

0x06 风险二预测：关系图投毒与规划链误导

SkillNet不只是做搜索，还会要做关系分析。它把skills之间的关系写成依赖、相似、组合和归属，这意味着攻击面不仅在单个skills说明文本，还在skills图谱本身。只要某个skills与哪些skills相似、依赖哪些skills、可以和哪些skills组合这件事被操控，那么Agent的规划链就会被系统性扭偏。

这一点与MCP安全中的元数据投毒逻辑高度相通。不同的是，MCP中强调的是工具元数据，而SkillNet把问题放到了更高一层的skills关系图。一个被标成高相关的skills，不一定在单次搜索里排名第一，但它可能在后续的组合推理中不断被系统视作合适候选。于是，关系图投毒的危险不在一次选择，而在它会把偏差嵌进规划过程本身。随着skills图谱越来越复杂，错误关系边、伪造组合边和高权限依赖伪装会成为比单点提示注入更难发现的问题。

0x07 风险三预测：自动建立skills链路的持久化投毒

SkillNet公开写出的一个重要能力，是从GitHub仓库、Office文档、执行日志、提示词和多种输入里自动创建skills。

这让系统具备了非常强的可扩展性，但也引入了一个新问题：一旦源样本本身带有恶意指令、误导性工作流，系统可能把原本一次性的污染沉淀成可复用skills。论文arXiv2407.12784已经表明，Agent的外部知识和记忆完全可能被投毒，并在后续任务里持续产生影响。

另一个同样重要的问题是评估欺骗，SkillNet会从多个维度评估skills，如果恶意skills在说明文本、使用示例和公开标签上表现得像优质skills，而真正危险的行为隐藏在脚本、条件分支、远端依赖或特定触发条件中，那么评估系统就可能被表面质量所欺骗。自动建立skills如果缺少溯源、隔离和对抗测试，最终会让污染从一次输入问题升级为长期持久化被投毒问题

0x08 风险四预测：过度Agent、静默凭据与执行层偏离

这点和Agent的风险很像，如果错误skills被选中，问题就与Agent的风险类似，过宽权限和静默凭据会把本来可控的skills偏差放大成真实资产风险。

0x09 风险五预测：skills到工具再到协议的桥接枢纽风险

SkillNet与OpenClaw的结合说明，它并不是一个孤立的skills库，而是会进入真实Agent系统作为执行前的能力层。一旦skills层和MCP、浏览器自动化、代码执行器、远端API等工具层结合，风险就会出现新的桥接效应。攻击者未必需要直接构造一个高权限恶意skills，他也可以利用看似普通的skills去引导Agent调用更危险的合法工具。

这类风险的关键在于枢纽节点。skills本来只是对任务方法的抽象，但一旦它成为工具选择、工具参数生成、执行顺序安排和错误恢复决策的上游输入，它就变成了桥。桥一旦被控制，真正受影响的是桥后面的高权限世界。

0x10 风险六预测：自增长闭环、记忆污染与跨平台传播

SkillNet最值得警惕的一点，也许不是它能收多少skills，而是它会不会形成自增长闭环。社区skills会引导执行，成功结果会再次变成新skills，这让SkillNet边得非常强大。但也意味着一旦某类被污染的skills被系统错误地判成成功经验，它就可能在后续版本里以更干净、更高分、更像最佳实践的形式再次出现，因此会加大监测这类恶意的skills的检测难度。

同时，恶意skills不只会在单个平台驻留，还可能随着统一skills格式在不同Agent、不同团队、不同运行框架之间迁移。SkillsNet一旦进入规模化共享阶段，最危险的不再只是一次攻击，而是错误经验如何被系统性地保存、清洗、再分发

总结

当skills开始成为智能体的外部能力时，同时未来更多的像SkillsNet这类skills集合开始承担发现、评估、组合、执行和经验回流的功能时，安全问题就已经从模型防护升级为skills供应链治理。此时，真正需要警惕的，不只是skills本身是否恶意，更是skills如何被搜索、如何被排序、如何被连接、如何被信任、如何被带着凭据和权限投入真实环境执行，以及如何在成功的表现下被再次沉淀为未来任务的默认经验。

从这个意义上说，SkillNet揭示的不是一个孤立的风险，而是一类新的安全结构。系统提示词泄露暴露的是控制平面，那么SkillsNet暴露的则是能力平面。skills与工具、协议、记忆和执行环境结合之后，攻击者面对的将不再是一次性的会话突破，而是一个可以长期投毒、逐步迁移、持续放大的能力基础设施。

参考

https://huggingface.co/blog/xzwnlp/skillnet-zh

https://pypi.org/project/skillnet-ai

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Security for AI 人总要充满希望 人总要充满希望《基于智能体的skills知识图谱—SkillNet代表的未来新型AI安全攻击风险预测》