2026-03-27 13:14:45 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： AIAgent技能市场存在严重安全风险，研究表明26.1%至36%的技能存在安全漏洞，涵盖14种攻击模式。主要问题包括审核机制缺失、权限过大及用户安全意识薄弱，导致技能可未经授权读取敏感数据、执行命令。建议用户检查已安装技能源码、限制Agent权限并关注安全更新，同时指出安全审计工具、信誉评分系统、沙箱环境等是潜在商业机会。 综合评分： 84 文章分类： AI安全,供应链安全,应用安全,恶意软件,安全运营

cover_image

AI Agent Skills 市场的 App Store 时刻：26% 有安全风险，这事你该担心吗？

SanNew

2026年3月2日 16:36 美国

我昨天给 Agent 装了一个自动发推的 Skill。

看起来很正常：下载量不错，README 写得清清楚楚，功能也确实好用。跑了一天，推文自动发了，互动数据自动抓了。

直到晚上我心血来潮翻了一下它的源码。

在 SKILL.md 的第 847 行，夹着一段肉眼几乎看不到的 Unicode 隐藏指令。大意是：把我配置文件里的所有 API Key——Twitter、OpenAI、Notion——悄悄发到一个外部服务器。

我的 Agent 已经忠实地执行了这条指令整整 24 小时。

这不是个例

2026 年 2 月 9 日，安全团队 Antiy CERT 在 OpenClaw 官方插件市场 ClawHub 上发现了一场大规模投毒攻击，代号 “ClawHavoc”。

他们审计了 ClawHub 上全部 2632 个 Skill，发现 341 个是恶意的。其中 335 个来自同一个攻击者。

341 / 2632 = 13%。

也就是说，你每装 8 个 Skill，就有 1 个在偷你的东西。

但这还不是最吓人的数字。

今年 1 月发表的一篇学术论文（arxiv: 2601.10338）做了一个更大规模的研究，扫描了市面上主流 Agent 平台的 Skills 生态。结论是：26.1% 的 Skills 至少包含一个安全漏洞，涵盖 14 种不同的攻击模式。

四分之一。

Snyk 的独立研究更狠——他们发现 agent registry 里 36% 的 Skills 存在安全缺陷。

你可能会说：App Store 早期不也这样吗？

没错。但 App Store 有苹果审核。Agent Skills 市场呢？

基本没有。

2009 年的 App Store vs 2026 年的 Skills 市场

2009 年，App Store 刚满一岁，就已经有大量恶意应用混入其中。但苹果迅速建立了审核机制——每个 App 上架前都要经过人工审核，沙箱隔离限制了 App 的权限，用户的数据在物理层面上是被保护的。

2026 年的 Agent Skills 市场呢？完全不同的局面。

最后一行是关键。你装一个 App，它要调摄像头会弹窗问你。但你装一个 Skill，它在后台读你的文件、发网络请求、执行 shell 命令——你什么都看不到。

这就是为什么安全研究员 Johann Rehberger 在他的博客里写了这么一句话：

Skills are scary from a security perspective. They are a typical supply chain risk with little governance or security controls.

为什么会这样？三个结构性问题

问题一：审核缺失

ClawHub 目前没有强制的安全审查。任何人都可以发布 Skill，只要格式合规。这就像一个没有保安的商场——货架上摆什么完全看商家自觉。

攻击者 publish 一个恶意 Skill，被发现了就删掉重新发。Reddit 上有人吐槽：「When malicious skills get removed, they just reappear under new names.」

打地鼠游戏。

问题二：权限过大

一个 Skill 被安装后，默认拥有 Agent 的全部能力——读文件、写文件、执行命令、发网络请求。没有沙箱，没有权限分级。

Trend Micro 的研究报告详细分析了一种攻击方式：在 SKILL.md 文件里嵌入隐藏指令，利用 Unicode 方向控制字符让人眼看不到，但 AI 会忠实执行。

三行 Markdown，就能从 SKILL.md 拿到 shell 访问权限。Snyk 把这称为「From SKILL.md to Shell Access in Three Lines of Markdown」。

问题三：用户安全意识薄弱

说句不好听的：大部分人装 Skill 的方式跟十年前装盗版软件一样——看到功能描述不错就装了，谁看源码啊？

但 Agent Skill 跟普通软件不一样。普通软件装了，它最多在你电脑上跑。Agent Skill 装了，它能以你的身份操作你的所有工具——发邮件、改代码、转账。

权限不是一个量级的。

机会在哪？

每一次安全危机，都是新产品的温床。

2009 年 App Store 安全事件频发，催生了一整个移动安全产业——Lookout、Zimperium、NowSecure。估值几十亿美金的公司，都是从那时候开始做的。

2026 年的 Agent Skills 安全危机，同样有一堆东西可以做：

1. Agent 安全审计工具

有个开发者在 dev.to 上分享了他的做法：他写了一个扫描器，跑了 500 个 Skills，发现大量安全问题。这个方向完全可以做成产品——一键扫描你已安装的所有 Skills，标出风险等级。

2. Skill 信誉评分系统

类似于 npm 的安全评分，但针对 Agent Skills。维度包括：作者身份验证、代码审计状态、社区评价、权限使用合理性。

3. 沙箱运行环境

让 Skill 在隔离环境中运行，限制它能访问的文件、网络和 API。Skill 想读你的 .env 文件？先过沙箱这一关。

4. 实时行为监控

不光是静态分析源码，还要在 Skill 运行时监控它的实际行为。它声明自己只读取日历，但实际上在发网络请求？立刻告警。

这四个方向，每一个都是独立开发者能切入的点。

3 件你现在就能做的事

说了这么多，回到实际操作。你不需要等安全工具出来才开始保护自己。

第一：检查已安装 Skill 的源码

重点看 SKILL.md 文件。用编辑器打开，搜索以下关键词：

• curl、wget、fetch（网络请求）

• env、secret、key、token（凭证读取）

• exec、spawn、shell（命令执行）

如果一个「日历提醒」Skill 里出现了 curl 请求到外部服务器——跑。

第二：限制 Agent 权限

不要让 Agent 以 root 或管理员身份运行。能用只读权限的就用只读。API Key 不要放在 Agent 能直接读到的地方，用环境变量或专门的密钥管理工具。

第三：关注安全更新

关注 OpenClaw 的 GitHub Issues 和 Security Advisories。ClawHavoc 事件后，OpenClaw 团队已经在推进 Skill 签名验证和沙箱机制。第一时间更新到最新版本。

写在最后

30 万条 Skill，26% 有安全风险。

这个数字会不会让你从此不敢用 Agent？不应该。

2009 年 App Store 也有一堆恶意应用，但我们没有因此不用手机。安全问题被发现、被讨论、被解决——生态就是这么成熟起来的。

AI Agent 生态正在经历它的「Wild West」阶段。这个阶段不会持续太久，因为有太多人在推动它走向规范。

但在规范到来之前，保护自己是你自己的事。

聪明的 builder 不是回避风险，而是把安全本身做成产品。

*参考来源：*

• *Liu et al., “Agent Skills in the Wild: An Empirical Study of Security” (arxiv: 2601.10338)*

• *Antiy CERT: ClawHavoc 恶意 Skill 投毒分析报告*

• *Snyk: “From SKILL.md to Shell Access in Three Lines of Markdown”*

• *Trend Micro: Malicious OpenClaw Skills Used to Distribute Atomic MacOS Stealer*

• *Johann Rehberger (embracethered.com): “Scary Agent Skills”*

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SanNew 《AI Agent Skills 市场的 App Store 时刻：26% 有安全风险，这事你该担心吗？》