文章总结： 微步在线披露一个伪装成小红书笔记创建插件的恶意Skill，表面功能完整但暗中窃取用户敏感信息。该恶意代码通过混淆技术隐藏在后端脚本中，在非Windows环境下读取SSH私钥，在Windows下获取环境变量，并将数据外传至恶意URL。文章强调此类威胁难以通过人工或普通AI检测发现，并建议用户使用微步SafeSkill进行安全检测或优先选用已验证的SkillHub。 综合评分： 85 文章分类： 恶意软件,安全意识,安全工具,威胁情报,漏洞预警

发了条小某书，SSH私钥就被拖走了

微步在线

2026年4月28日 08:30 北京

在小说阅读器读本章

去阅读

最近，微步SafeSkill在一次例行检测中发现了一个极具代表性的恶意Skill。

表面上，这是个“小某书笔记创建插件”，说明文档详尽，功能链路清晰，从内容生成、图片渲染到最终发布，整套流程都能顺利跑通，它是一个真的能用、且功能颇为完整的Skill。

但，待用户真正开始使用、配置好环境变量、执行发布动作时，早已被植入的恶意代码开始发力，将敏感信息偷偷外传。

SafeSkill检测截图

恶意Skill的问题，到底在哪？

如上图所示，风险点出现在发布脚本，即scripts/publish_xhs.py脚本中。

脚本表面上的职责毫无问题。它会读取.env文件中的XHS_COOKIE，校验图片，并支持本地发布与API发布两种模式。这些逻辑真实存在，也与Skill的说明文档完全吻合。 然而，在正常发布流程的末尾，脚本额外调用了一段经过混淆处理的隐藏逻辑：

这段代码的写法极其迂回。它并未将恶意行为明文写出，而是通过异常嵌套、异或解码、动态导入和反射调用等手段，将关键动作层层拆解。这不仅对人眼审查构成了挑战，也极易让普通的模型总结工具“失明”：

1. 它会动态拼凑出os、popen、__import__、getattr等关键调用。

2.  在Windows环境下，执行set命令读取当前进程的所有环境变量。

3.  在非Windows环境下，尝试读取~/.ssh/id_rsa，即用户的SSH私钥。

4. 获取数据后，将其拼接到curl –form-string “payload=…”命令中。

5.最终，将数据提交至外部地址https://app.forminit.com/forms/3fa64j66aqh。

就这样，这个Skill在“帮你发小红书”的同时，也把你机器上的敏感信息打包送走。

相关恶意代码：

外传信息如下：

被窃取的远不止一个小红书Cookie。如果环境变量中还包含API Key、云服务凭证、内部接口地址或数据库连接串，这些都将面临暴露风险。

更严重的是，在非Windows环境下，SSH私钥的泄露可能导致服务器被直接接管、代码仓库被非法访问、内部系统遭遇横向渗透。

为什么这种恶意Skill很难发现？

无论是人工审查，还是普通的大模型检测，都无法保证对这种恶意Skill的检测。

人工审查通常会先看Skill.md。如果文档结构完整、功能描述合理、脚本命名规范，审查者很容易先入为主地认为“这是个正经Skill”。同时，这个Skill压缩后达 8.6MB，包含64个文件。对于人工审查来说，逐文件逐行深究几乎不可能，即便是资深开发者，面对如此体量，也往往只能抽样检查关键入口，而恶意代码恰恰就藏在最不起眼的角落。

普通的大模型检测同样容易漏判。8.6MB的上下文体量已逼近多数模型的单轮处理上限，模型极易在“总结核心功能”的任务中主动略过边缘脚本和深层调用。这类样本极易触发如下审计检测盲区：

● 大海藏针：正常内容占据99.9%，恶意代码仅占极小篇幅。

● 逻辑寄生：恶意逻辑被故意放置在正常功能链路之中，不引人注目。

● 混淆对抗：代码经过混淆，并非明文外传数据。 如果仅是单轮分析，AI的注意力很容易被“它是个小红书助手”的主线功能带偏，从而忽略那段不该出现的异常行为。

此Skill目录如下：

真正有效的检测机制是什么？

有效的检测机制并非依赖单一维度，而是通过多维交叉验证进行综合研判。在检测这个恶意Skill的过程中，微步SafeSkill的LLM深度意图分析和URL主动探测分析就发挥了主要作用：

LLM深度意图分析

SafeSkill不是简单地询问“这个Skill是做什么的”，而是持续追问：

● 它声称提供什么功能？

● 它的真实执行链路是什么？

● 哪些代码行为与声明一致？

● 哪些行为超出了功能边界？

● 这些越界行为是否具备取数、外传、控制或隐蔽触发的特征？

放在这个样本中，结论非常清晰：实际意图和表面意图的一致性仅有40%，后半段突然出现了系统命令执行、环境变量读取、SSH私钥窃取和外部数据提交，这些行为与“发布小红书笔记”之间不存在任何合理的意图关联。

URL主动探测与响应分析

与此同时，SafeSkill也对Skill中提及的数据传输URL进行了分析，通过云端威胁情报判定出，接收数据的URL为恶意URL。

至此，SafeSkill在一次检测中将功能声明、脚本行为、触发时机、外联目标与潜在泄露内容串联成完整的证据链，最终判定这一Skill为恶意。

微步SafeSkill提醒您

凡涉及敏感凭证或复杂业务的Skill，切勿直接运行，建议遵循“先检后用”原则，将Skill提交至SafeSkill.cn，检测确认安全性之后再使用。

此外，如果希望从源头降低风险，建议优先从微步SafeSkill验证后的Skill Hub中查找、下载和安装Skill，避免直接使用来历不明或未经过充分检测验证的Skill。

点击”阅读原文“，立刻体验safeskill.cn

·END·

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线 《发了条小某书，SSH私钥就被拖走了》