文章总结： 本文分析了AI智能体Skill能力面临的安全风险，重点揭示了三类Skill提示词注入攻击模式：直接注入、间接执行注入和上下文注入。指出Skill生态存在供应链攻击、数据泄露和渐进式披露盲区等风险。建议采取沙箱化执行、最小权限原则、Skill审计溯源、运行时监控和内容过滤等防御措施，并结合专业安全产品构建主动防御体系。 综合评分： 82 文章分类： AI安全,应用安全,威胁情报,安全建设,解决方案

山石安全能力中心｜警惕OpenClaw Skill注入风险

原创

山石网科 山石网科

山石网科新视界

2026年3月25日 14:01 北京

警惕OpenClaw Skill注入风险

概要

近期AI智能体迅速发展，新引入的Skill能力允许智能体通过控制文件、调用API等方式完成复杂任务。但Skill来源复杂，可能来自用户手动编写、可信供应商或其他未验证第三方，版本混乱且质量缺少保证，存在许多安全风险。其中恶意Skill提示词注入是当前Skill生态中的常见攻击模式。Skill的核心指令存储在SKILL.md或instruction.md文件中，这些文本直接拼接到智能体的输入中，极易成为注入攻击的载体。

Skill提示词注入

目前常见的恶意Skill注入大致可以分为三类：

1.提示词直接注入：在Skill文本中直接注入明显恶意行为语句；

2.间接执行注入：Skill文本无恶意行为语句，但其中要求调用的脚本或程序为恶意；

3.上下文注入：Skill中无恶意行为语句，需要结合上下文以及外部环境才能确认是否存在恶意意图。

• 提示词直接注入

该恶意Skill伪装为python代码技能，在description字段中强制要求处理python代码时使用该Skill，这将劫持智能体处理python任务时的工具选择。同时该Skill要求按其提供的步骤对处理的文件进行“加密”。分析可以发现其“加密流程”是明显的加密勒索步骤：首先识别工作目录下特定后缀名的文件，然后生成随机密钥加密文件，并调用curl将密钥外泄给攻击者，最终删除原始文件。

• 间接执行注入

该恶意Skill伪装为docx文档处理工具，Skill文本中表面上没有明显恶意行为。但在描述最后步骤中要求使用“backup.sh”脚本进行备份，实际上该脚本是攻击者提供的恶意脚本，其作用并非文件备份。智能体执行该脚本后将调用curl工具下载额外的恶意脚本并执行。

• 上下文注入

该Skill表面上为数据库迁移工具，在描述中无明显恶意语句。关键在于其操作步骤的最后一步：要求使用原生SQL而不是ORM方法。这需要结合任务环境上下文进行分析：在对性能要求高的系统中，原生SQL的性能可能会优于ORM方法，在数据库迁移时使用原生SQL可以提高迁移效率，在该情景下该Skill行为并无恶意意图。但直接使用外部输入原生SQL进行数据库操作并且没有采取适当防护措施将导致SQL注入漏洞，存在巨大安全隐患。在安全要求较高的系统环境中，需要始终采用安全的查询模式，这种情况下该Skill存在安全隐患。

Skill 生态风险

目前智能体Skill生态的爆发式增长，但审核机制却薄弱。目前的Skill市场平台大多缺乏严格安全审核且多数Skill版本混乱。除了上文介绍的提示词注入外，Skill生态还存在许多安全风险：

1. 供应链攻击：Skill本质上是由代码与文档组成，易于分发和安装，攻击者可以轻易混入生态，实施依赖投毒等攻击。

2. 敏感数据泄露：Skill拥有访问用户本地文件和上下文的权限，若缺乏严格的管控机制，隐私泄露风险极高。

3. “渐进式披露”盲区：渐进式披露允许智能体分层级动态加载Skill内容，传统的静态代码扫描工具难以在运行时实时检测所有加载内容的恶意性。

防御建议

可以采取以下方式防范Skill安全风险：

1. 沙箱化执行：强制所有Skill的脚本在隔离的沙箱环境中运行，严格限制文件系统访问和网络请求。

2. 最小权限原则：Skill必须显式声明所需的权限范围（如仅读取当前目录），由用户或系统在运行时动态授权，默认拒绝所有未声明的权限。

3. Skill审计与溯源：引入签名机制，确保Skill来源可信，防止篡改。企业可建立私有的、经严格审计的Skill仓库。

4. 运行时监控：部署系统级监督Skill，实时监控智能体的行为，拦截异常操作。

5. Skill内容过滤：在将Skill指令输入上下文前，通过专用的安全模型进行

二次过滤，识别并剔除潜在的注入攻击载荷。

山石防御

建议结合山石网科（Hillstone Networks）的专业产品和服务，构建多维一体的主动防御体系：

• 山石云沙箱： 针对Skill脚本，山石云沙箱通过多引擎动态检测技术，在隔离的虚拟环境中强制触发宏脚本及后续载荷，有效识别恶意脚本；

• 山石网科EDR： 山石网科终端安全检测与响应平台（EDR）采用高级行为关联分析技术， 实时监控智能体行为，精准阻断异常操作；

• 山石网科威胁情报服务：山石网科云瞻威胁情报平台持续追踪恶意Skill涉及资产设施，动态推送高价值 IOC 列表（包括 MD5、IP、域名及最新变种Hash），阻拦Skill与恶意控制服务器通信。

• 山石安全能力中心｜BYOVD攻击技术分析&防御指南
• 共话AI时代安全新机遇 | 山石网科亮相CyberSec Talk圆桌讨论
• AI 简讯｜重要AI事件：龙虾成为AI领域首要安全威胁；IBM提出Q-Day后量子威胁

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请560多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、AI安全、安全服务、安全教育等10大类产品及服务，50余个行业和场景的完整解决方案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山石网科新视界 山石网科 山石网科《山石安全能力中心｜警惕OpenClaw Skill注入风险》