文章总结： OWASP于2026年发布AgenticSkillsTop10（AST10），系统梳理了AIAgent技能领域的十大安全风险，标志着AI安全重点从模型安全转向行为安全。报告指出恶意技能（AST01）和供应链妥协（AST02）为严重风险，并披露了ClawHavoc供应链投毒等真实攻击事件。关键缓解措施包括技能签名、注册表扫描、最小权限原则和沙箱隔离，建议企业建立技能资产清单、审批流程和应急响应程序。 综合评分： 88 文章分类： AI安全,供应链安全,应用安全,网络安全,云安全

OWASP最新发布：Agentic Skills十大安全风险

锦岳智慧

2026年4月29日 13:37 北京

在小说阅读器读本章

去阅读

一个伪装成“谷歌搜索工具”的AI技能，可能在用户不知不觉中窃取SSH密钥、浏览器密码和加密货币钱包；一个看似无害的代码仓库，在开发者打开的同时就已执行了恶意命令。这不是科幻电影的情节，而是2026年第一季度就已经真实上演的安全事件。

AI Agent正以前所未有的速度渗透进开发、运维、办公乃至个人生活的方方面面。然而，当大语言模型学会调用工具、Agent学会执行多步任务时，一个关键的安全盲区正在被攻击者们疯狂利用——那就是Agent的行为执行层，即“技能”（Skills）。

2026年初，OWASP正式发布Agentic Skills Top 10（AST10）项目，首次系统性地梳理了AI Agent技能领域的十大最紧迫安全风险，并配套提供了一套从供应链治理到运行时隔离的完整防护框架。这标志着AI Agent安全从“模型安全”正式进入“行为安全”的新纪元。

Q

一、什么是Agentic Skills？为什么它们如此危险？

简单来说，AI Agent的“技能”就是可复用的、命名化的行为封装包。它不仅定义了Agent可以访问哪些资源（如文件系统、网络、API），更定义了Agent如何自主地组织多步工作流来完成用户的目标。

市面上主流的AI Agent平台各有其技能格式：

• OpenClaw：

  使用SKILL.md（YAML前置元数据 + Markdown）

• Claude Code：

  使用skill.json / YAML + scripts/

• Cursor / Codex：

  使用manifest.json + 处理器脚本

• VS Code：

  使用package.json + 扩展

与MCP（模型上下文协议）有所不同——MCP是“模型如何与工具对话”，而AST10关注的是“这些工具实际会做什么”。技能不是“提示词模板”，而是可执行的行为包。

2026年初，Palo Alto Networks和Simon Willison共同提出了一个“致命三要素”（Lethal Trifecta）模型：当一个AI技能同时具备以下三个能力时，它就构成了致命的威胁——访问私有数据的能力、接触不受信内容的权限、以及对外通信的能力。不幸的是，大多数生产环境中的Agent都满足这三项条件。

A

二、这不是理论推演：危机已经真实上演

OWASP在AST10项目首页用一句话总结了现状：“这不是一个理论上的未来风险。AI Agent技能生态系统在2026年第一季度正遭受活跃攻击。”

以下数据来自近期的多项安全调查报告：

| | | | | — | — | — | | 指标 | 数据 | 来源 | | 被扫描的技能总数 | 3,984个 | Snyk ToxicSkills （2026年2月） | | 存在安全缺陷的技能 | 1,467个（36.82%） | Snyk ToxicSkills （2026年2月） | | 存在严重问题的技能 | 534个（13.4%） | Snyk ToxicSkills （2026年2月） | | 确认的恶意载荷 | 76+个 | Snyk ToxicSkills （2026年2月） | | ClawHavoc攻击行动中的恶意技能 | 1,184个 | Antiy CERT （2026年2月） | | 暴露在公网的OpenClaw实例 | 135,000+个 | SecurityScorecard （2026年2月） | | 各注册表分析的技能总数 | 30,000+个 | National CIO Review / Cisco （2026年） | | 包含至少一个漏洞的技能比例 | >25% | National CIO Review （2026年） |

最为典型的攻击事件莫过于ClawHavoc供应链投毒行动。攻击者注册为ClawHub的开发者身份，批量上传伪装成合法插件的恶意技能。在感染高峰期，ClawHub排名前七的热门技能中有五个被确认为恶意软件。攻击者大量冒充“谷歌搜索工具”、加密货币钱包工具、社交媒体工具等热门主题，诱导用户下载安装恶意技能，暗中植入macOS窃取器，窃取用户的API密钥、钱包私钥、SSH凭据、浏览器密码等敏感信息。

与此同时，Check Point Research披露了Claude Code的两个关键漏洞：CVE-2025-59536（CVSS 8.7分）和CVE-2026-21852（CVSS 5.3分）。恶意项目配置文件可以在用户还没来得及看到信任对话框之前，就悄无声息地执行任意Shell命令并窃取API密钥。Snyk的研究人员也以“From SKILL.md to Shell Access in Three Lines of Markdown”为题展示了这种“三行Markdown即可达成Shell访问”的惊人风险。

三、OWASP Agentic Skills Top 10：十大风险全景图

OWASP AST10将当前AI Agent技能生态中最严重的十大安全风险进行了系统分类和严格评级：

| | | | | | — | — | — | — | | 编号 | 风险名称 | 严重度 | 关键缓解措施 | | AST01 | 恶意技能 | 严重 | Merkle根签名、注册表扫描 | | AST02 | 供应链妥协 | 严重 | 注册表透明性、来源跟踪 | | AST03 | 过度授权 | 高 | 最小权限清单、Schema校验 | | AST04 | 不安全元数据 | 高 | 静态分析、清单Linting | | AST05 | 不安全反序列化 | 高 | 安全解析器、沙箱加载 | | AST06 | 弱隔离 | 高 | 容器化、Docker沙箱 | | AST07 | 更新漂移 | 中 | 不可变锁版、哈希校验 | | AST08 | 扫描不足 | 中 | 语义+行为多工具流水线 | | AST08 | 缺乏治理 | 中 | 技能清单、Agent身份控制 | | AST09 | 跨平台复用 | 中 | 通用YAML格式、平台校验 |

🎯

最危险的两大“严重”风险：AST01与AST02

AST01恶意技能指向最直接也最容易被低估的风险：技能本体就是恶意的。恶意代码往往被藏在看似正常的描述、脚本和工作流编排中，而非传统的二进制木马特征里。官方将Merkle根签名和注册表扫描列为关键缓解措施。

AST02供应链妥协聚焦于技能在分发链条中被污染的路径——注册表、市场、依赖、发布者身份、透明日志等环节都可能成为攻击突破口。OWASP明确提出要把技能当成一种全新的软件供应链单元来管理。

⚠️

不容忽视的“高”危风险：AST03至AST06

AST03过度授权的核心在于技能权限边界与实际任务需求的脱节。一个只需要读取某API的技能可能申请了整目录读取权限，一个只应访问特定域名的技能却获得了全网络出站能力。Snyk 2026年2月的报告揭示了280多个因此泄露凭据的技能。

AST04不安全元数据指向一个极易被忽视的攻击向量：技能的名字、描述、权限声明等元数据本身可能被用来误导用户。现实案例中出现了假冒“Google”技能的“品牌冒充”行为。

AST05不安全反序列化揭示了技能加载阶段的风险。大量技能依赖YAML、JSON、Markdown等结构化内容完成加载，攻击可能在技能还没有正式开始工作前就已经触发。

AST06弱隔离揭示了一个根本性的问题：即使权限写得再规范，如果技能与宿主跑在同一个安全上下文中，manifest再多也只是纸面防御。官方建议“默认沙箱，宿主执行是例外”。

🔧

不容轻视的“中”危风险：AST07至AST10

AST07更新漂移是指技能在更新过程中“旧”技能变成“新”技能所带来的行为边界失控问题。

AST08扫描不足批判性地指出传统“扫软件包、扫依赖、扫代码仓”的方法已无法应对“代码+配置+自然语言+行为编排”的复杂协议。

AST09缺乏治理是从企业治理视角出发的核心风险：组织缺少invenory、policy、审批流、审计记录，导致开发者自行安装技能而SOC完全不可见，形成“Shadow AI”安全盲区。

AST10跨平台复用着眼于恶意技能跨平台迁移的潜在威胁。OWASP为此专门提出了“通用技能格式”（Universal Skill Format），确保安全属性能够随技能一起迁移。

四、一个完整的安全防护清单

OWASP AST10为不同角色的团队量身定制了安全实践指南：

01

技能注册与安装环节

• 仅从有代码签名的已验证发布者处安装技能
• 对所有技能安装启用自动化扫描
• 安装前审查技能权限申请
• 锁定技能版本以防止自动更新引入恶意内容

02

运行时安全

• 在隔离环境（容器/沙箱）中运行Agent
• 对Agent进程实现网络访问限制
• 持续监控Agent的文件系统和网络活动
• 定期审计已安装技能及其依赖项

03

治理与监控

• 维护所有已部署Agent技能的完整资产清单
• 对技能安装实施审批工作流
• 启用Agent行为的全面审计日志
• 建立针对技能失陷的应急响应程序

03

Skill开发实践

• 使用加密密钥对所有发布的技能进行签名
• 包含全面的权限manifest清单
• 在隔离环境中测试技能后再发布
• 在技能元数据中详细记录安全考虑

五、项目展望：从“新项目提案”到行业标准

AST10目前仍处于OWASP Incubator阶段（新项目提案），目标是2026年内完成v1.0版本的全面发布。

值得关注的是，OWASP已将其与现有安全框架进行了系统贯通：

• AST10扩展了OWASP LLM Top 10中的供应链风险（LLM03）和过度Agent权（LLM09）
• AST10在Agent层级的“工具层”风险上进行了专门深化
• AST10与OWASP MCP Top 10形成了精细互补

此外，AST10还映射到了CSA（云安全联盟）的MAESTRO7层威胁模型，并将在v1.0中全面对齐NIST AI RMF、ISO/IEC 42001、欧盟AI法案等标准框架。

结语

OWASP发布Agentic Skills Top 10，标志着一个重要的行业转折：AI Agent安全的重点已不再只是“如何防止模型胡说八道”，而是如何确保接管现实世界的Agent不会反噬我们。

ClawHavoc和Claude Code漏洞的真实案例已经敲响了警钟。当Agent能够读写文件、访问网络、执行Shell命令时，恶意技能的攻击面就会从传统的“提示注入”升级为“行为劫持”。正如OWASP所指出的：“这不是理论推演，而是一个正在发生的事情。”

对于组织而言，立即盘点AI Agent环境中的所有技能、从今天开始将技能视为正式的供应链资产，不应再是优先级排序中的“待办事项”。谁先建立起Agent技能的安全防护体系，谁就能在即将到来的AI Agent规模化部署浪潮中占据安全高地。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：锦岳智慧 《OWASP最新发布：Agentic Skills十大安全风险》