最近GitHub Trending上有个项目让我后背发凉——NVIDIA开源的SkillSpector,一个专门扫描AI Agent技能安全性的工具。它披露了一组数据:26.1%的Agent技能存在漏洞,5.2%表现出明显的恶意意图。
这不是危言耸听。随着Claude Code、Codex CLI、Gemini CLI等工具的普及,"技能"(Skill)正在成为开发者日常工作的基础设施。一个技能文件本质上是一段能直接在你本地执行的代码,而大多数人安装时几乎不做任何审查。
一、Agent技能的安全困境
传统软件安装好歹还有包管理器的签名验证、社区审核、CVE漏洞库。但Agent技能生态目前基本处于"野生状态":
- 技能通过SKILL.md或脚本分发,没有统一的审计机制
- Agent执行时拥有shell权限,能读写文件、访问网络、调用API
- 恶意技能可以伪装成实用工具,暗中窃取敏感数据或植入后门
- 供应链攻击:一个被广泛依赖的技能被篡改,影响面极大
更麻烦的是,Agent的自主性让风险成倍放大。传统恶意软件需要诱骗用户执行,而Agent技能一旦被安装,AI会在"帮你做事"的过程中自动调用,用户甚至不会意识到发生了什么。
二、SkillSpector的技术架构
NVIDIA这个工具的设计思路很扎实,采用两阶段分析:
- # 快速静态分析 + 可选LLM语义评估
- skillspector scan ./my-skill/
- # 静态分析覆盖64种漏洞模式,横跨16个类别:
- # - 提示注入(Prompt Injection)
- # - 数据外泄(Data Exfiltration)
- # - 权限提升(Privilege Escalation)
- # - 供应链攻击(Supply Chain)
- # - 过度授权(Excessive Agency)
- # - 系统提示泄露(System Prompt Leakage)
- # - 内存投毒(Memory Poisoning)
- # - MCP工具投毒(MCP Tool Poisoning)
特别值得一提的是它的实时漏洞查询能力——通过OSV.dev接口查CVE,还有离线回退机制。输出格式也很全:终端、JSON、Markdown、SARIF(CI/CD集成),风险评分0-100分,直接告诉你"这个技能能不能装"。
三、实际扫描案例
我试着用它扫了几个热门的Agent技能,结果确实发现了一些问题:
- 某"文件管理"技能在清理临时文件时,路径拼接存在命令注入风险
- 一个"代码搜索"工具会把用户的代码片段发送到外部API,但隐私政策里没写清楚
- 有个"自动提交"技能默认开启了--force参数,可能导致代码丢失
这些问题都不是明显的恶意行为,但在Agent自动执行的上下文里,后果会被放大。
四、开发者能做什么?
- 安装前审查:至少看一眼技能的源码,特别是涉及网络请求、文件操作、命令执行的部分
- 沙箱运行:用Docker或虚拟机隔离Agent的执行环境
- 权限最小化:给Agent配置只读权限,需要写操作时再临时放开
- 定期扫描:把SkillSpector集成到CI流程,自动检测依赖的技能更新
- 社区共建:如果你维护Agent技能,主动提供SBOM(软件物料清单)和安全声明
五、更深层的思考
Agent技能的兴起,本质上是软件分发形态的一次范式转移。从安装包→Docker镜像→npm包→Agent技能,每一次演进都让"安装"变得更简单,但也让"审查"变得更困难。
SkillSpector的出现是个好信号——大厂开始重视这个领域的安全基建。但我更期待的是行业标准的建立:统一的安全审计流程、签名验证机制、漏洞披露规范。否则,Agent生态的繁荣可能会建立在沙土之上。
你的看法呢?
- 你在用Claude Code/Codex/Cursor时,会审查安装的技能吗?
- Agent的自主性vs安全性,这个平衡怎么把握?
- 你觉得Agent技能生态需要什么样的安全标准?
参考项目:
NVIDIA/SkillSpector
Agent-Reach(AI Agent互联网能力扩展)
cua(Computer-Use Agents开源基础设施) |
喧嚣卡
千斤顶
