你装的 Skill 真的能用,但也真的会把你的隐私数据带走

原创 于 2026-06-10 14:17:40 发布 · 186 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#软件供应链安全 #SCA #AI原生 #AI Skills

装了个 AI Skill,SSH 私钥可能先出门

最近,AI Agent 越来越像一个能干活的同事。

你给它一个任务,它能查资料、写代码、调接口、生成文档,甚至还能串起一堆工具自己跑流程。

而 Skill,就是让 Agent 变得更能干的一种方式。

今天装一个“代码审查 Skill”、 明天装一个“自动运维 Skill”、 后天再装一个“浏览器操作 Skill”。听起来很美好,但问题也来了

  • 这个 Skill,到底是谁写的?

  • 它安装之后会执行什么?

  • 它会不会读取本地文件?

  • 它会不会偷偷下载东西?

  • 它会不会把敏感信息带出去?

更麻烦的是,有些 Skill 看起来真的很正常。名字正常、说明正常、功能也正常,甚至 README 写得还挺像那么回事。但它可能就偏偏在安装脚本里藏了别的动作:

  • 可能在提示词里塞了不该有的指令;

  • 可能在执行过程中访问敏感路径;

  • 也可能把本来不该离开环境的信息,悄悄发出去。

这时候你会发现,AI 时代的供应链风险,开始长出新的样子了

Skill 窃取用户环境变量信息

截止发稿,该恶意skill还未下架:https://github.com/ronyparra/fake-dep-check-skill/blob/main/SKILL.md

最危险的,往往不是一眼看起来就坏的

很多人以为恶意内容应该很明显。比如名字很怪、来源很可疑、代码里写着危险命令 等等。

但现实不是这样。真正容易被装进去的高风险 Skill,往往看起来很有用

比如:“帮你自动整理项目文档”、“帮你分析 Git 仓库”、“帮你连接浏览器执行任务”、“帮你读取本地配置并生成运维脚本”、“帮你快速定位代码问题”......

这些功能听起来都很合理。但问题是,它们天然就需要接触敏感信息:代码仓库、配置文件、API Ke、SSH Key、环境变量、内部地址、浏览器 Cookie、构建产物、私有依赖源等等。

而一旦 Skill 的来源不可信、内容有异常、指令被恶意设计,它就可能从“提高效率的工具”,变成“把风险带进内部环境的入口”。

因为 Skill 不只是代码它可能同时包含:执行脚本、安装说明、工具调用方式、提示词指令、操作流程、外部资源地址、对本地文件或环境变量的访问要求等等。

这意味着,判断一个 Skill 安不安全,不能只看“有没有已知漏洞”,还要看它想让 Agent 做什么。

而且这类风险有一个特别麻烦的地方:它往往发生在安装和执行之前就已经埋好了,等真正跑起来,再发现不对,可能已经晚了。

墨菲安全 SCA Skills 安全检测:装之前,先查一下

墨菲安全 SCA 4.0 中的 Skills 安全检测能力,就是为这个新场景准备的。

它不是把所有 AI 安全问题都装进一个大筐里讲,而是聚焦一个非常具体、也非常容易被忽视的对象:Skill 包形态的供应链风险

企业在引入第三方 Skill、开源 Skill 或内部自建 Skill 前,可以先进行安全筛查。重点不是吓唬你“不要用 Skill”,而是帮助你看清楚:

  • 这个 Skill 的来源是否可信;

  • 它是否命中已知恶意 Skill;

  • 它的内容是否存在异常;

  • 脚本、提示词、安装说明和操作指令里有没有高风险行为;

  • 风险证据在哪里;

  • 是否存在需要进一步人工确认的可疑点。

换句话说,不是等 Skill 装完、跑完、出事之后再排查,而是在进入环境之前先过一遍。把风险拦在门外,永远比事后溯源轻松。

而且它不只看代码,也看提示词和说明文档。因为Skill 的特殊之处在于,它不一定只靠代码“作恶”。

有些风险,可能藏在提示词里、可能藏在安装说明里、可能藏在操作步骤里、甚至可能藏在对 Agent 的行为诱导里。

所以,检测 Skill 不能只扫脚本文件,还要理解这个 Skill 在“指挥 AI 做什么”。

墨菲安全 Skills 安全检测不仅关注已知恶意 Skill,也会对未知 Skill 内容进行分析,帮助识别其中可能存在的风险行为,比如恶意代码、下载执行、敏感信息访问、提示词攻击等问题。

更重要的是,它会尽量把风险证据定位出来。

墨菲安全SCA Skill检测结果(部分检测结果)

安全团队真正需要的,不是一个笼统的“高风险”标签。而是“哪里有问题”、“为什么可疑”、“风险依据是什么”、“该不该允许进入环境”、“是否需要人工复核”等明确的反馈。

这才是企业里能落地的安全审查方式。

不是不用 Skill,而是用得更安心

安全从来不是为了阻止创新。相反,越是新的能力,越需要配套新的安全方式。

如果因为担心风险就不敢用 Skill,企业会错过 AI Agent 带来的效率提升。但如果不做审查就随便装,企业又可能把供应链风险带进来。

更合理的方式是:该用的继续用,该提效的继续提效。但在安装和执行前,先把来源、内容、行为和风险证据看清楚。

这就是墨菲安全 SCA Skills 安全检测想解决的问题。让企业不是靠“感觉”判断一个 Skill 能不能用,而是有依据地判断:它从哪里来、它里面有什么、它想做什么、风险在哪里、能不能进入我的环境......

写在最后

AI Agent 时代,供应链安全不会消失,它只是换了一个入口。

以前我们担心组件,现在我们还要担心 Skill。

以前我们说“不要随便装包”,现在也该补一句:不要随便装 Skill。

因为一个看起来很正经的 Skill,可能真的很有用;但也可能,真的很危险。

墨菲安全
关注
博客
墨菲安全联合公安三所、国泰海通证券发布《漏洞及投毒情报应用实践指南》
05-08 405
墨菲安全联合公安三所、国泰海通证券发布《漏洞及投毒情报应用实践指南》2026版,指南指出企业安全面临组件选型风险、告警误报多、影响范围错误、漏洞细节缺失四大痛点,亟需提升情报应用能力。
博客
墨菲安全发布《安全度量最佳实践2026版》
04-20 455
《安全度量最佳实践2026版》为企业安全治理提供系统化解决方案。该实践基于ESSF框架,提出CSI、SAI、SII三类核心指标,将传统“问题清单”升级为可量化的“风险指数”。报告包含7大章节,从需求调研到常态化运营,完整覆盖安全度量建设路径,重点解决管理层决策难、跨部门协同弱、成效评估模糊等痛点。通过建立统一的安全度量语言,实现风险可视化、责任可追溯、治理可闭环,推动企业安全建设从经验驱动转向数据驱动。该实践整合多行业头部企业经验,为企业提供可落地的量化治理方案。
博客
墨菲安全联合中国电信研究院发布《开源安全治理最佳实践》
03-18 428
《开源安全治理最佳实践2026版》发布,揭示开源安全严峻态势:2025年新增漏洞42万+,恶意组件5.9万+,53%企业存在许可证冲突。报告指出企业面临资产不清、漏洞难修、风险难防三大痛点,提出覆盖全生命周期的七大治理方案,包括现状分析、技术选型、组织推动等关键环节。报告强调开源治理需建立SBOM管理、前置拦截等五项核心能力,并提供从认知到落地的完整方法路径。该报告由墨菲安全联合中国电信研究院及行业专家共同编制,基于数百家企业实践,旨在帮助企业构建可持续的开源安全治理体系。
博客
墨菲安全研究院联合涂鸦等企业发布《出海智能制造开源安全治理最佳实践》
06-17 258
出海智能制造企业面临开源安全治理新挑战,风险边界已从组件漏洞扩展到供应链攻击、恶意投毒等新场景。这类企业因涉及固件、嵌入式软件等多环节,风险影响更复杂,且海外监管日益严格。墨菲安全研究院联合涂鸦智能、安克创新发布《出海智能制造开源安全治理最佳实践》,针对SBOM、许可证合规等核心问题,提供从风险识别到持续改进的治理方案,助力企业将安全治理转化为长期能力。
博客
近期投毒事件频发,关基行业如何降低供应链投毒风险?
06-04 217
供应链投毒攻击正在从开源组件仓库扩散到 CI/CD、IDE/浏览器插件和 AI 生态。墨菲安全“供应链投毒风险治理方案”,帮助企业建立“感知-检测-阻断”一体化治理思路。
博客
墨菲安全获评超聚变探索者大会2026“聚智·同行伙伴”
05-28 351
墨菲安全与超聚变深度合作,共同打造FusionOS26 AI原生操作系统安全方案,获评“聚智·同行伙伴”。双方围绕软件供应链安全展开合作,推动安全能力从单点防护向原生融合演进。墨菲安全通过AI技术重构漏洞治理效率,将安全能力工程化,并构建平台化安全协同体系,实现从风险识别到价值量化的转变。同时,墨菲安全持续扩展AI生态安全能力,覆盖新型风险场景。未来,安全行业将聚焦构建具备持续风险理解与治理能力的AI原生系统,墨菲安全将继续深化与行业伙伴合作,推动安全能力成为企业核心能力。
博客
墨菲安全发布SCA 4.0:AI原生、Skills 检测
04-14 365
企业安全治理面临SCA工具效率低下的痛点:传统产品仅提供漏洞信息而非行动方案,导致安全、研发、法务多角色沟通成本高。墨菲安全SCA4.0通过AI原生重构实现三大突破:1、AI自动输出可执行结论,让研发无需安全背景即可完成修复;2、将单漏洞处置时间从数小时缩短至分钟级;3、扩展检测范围至AI生态(如Skills供应链安全)。该方案颠覆了“信息交付”模式,通过AI驱动全流程决策,真正实现低成本高效治理。
博客
墨菲安全正式发布AI原生企业安全治理平台SGP
03-19 614
墨菲安全推出AI原生安全治理平台(SGP),基于企业安全治理框架(ESSF)实现科学度量和高效治理。SGP通过动态更新的开源框架统一安全度量标准,让企业管理者、业务部门和安全团队都能清晰理解安全水位。平台利用墨思AIAgent重构安全问题处置流程,实现300倍效率提升,包括智能研判、优先级排序和一键处置等功能。SGP核心价值在于“让安全价值被看见”和“让问题处置更高效”;旨在改变安全部门长期面临的“背锅”困境。产品经过2年打磨和头部企业试点,现正式开放体验通道,创始人将全程支持试用过程。
博客
IDE插件和AI工具正成为投毒攻击的新“蓝海”
03-05 289
《2025软件供应链投毒风险报告》揭示攻击边界正从传统组件仓库向IDE插件和AI工具链扩展。报告指出,VSCode、Chrome等插件因高权限和用户信任成为新型攻击载体。AI生态更出现“幻觉投毒”新手法。软件供应链安全边界正在消失,企业必须将防御范围扩展到研发终端和AI风险领域。
博客
2025年软件供应链投毒攻击的三个致命演变
03-03 374
《2025年软件供应链投毒风险研究报告》显示,软件供应链投毒风险呈现三大致命演变:攻击精准化,从随机钓鱼转向针对特定目标的定制化攻击;传播自动化,Shai-Hulud蠕虫式攻击在2天内感染500多个NPM组件,波及2万多个GitHub仓库;危害直接化,攻击目标转向直接获利,如TrustWallet因投毒损失850万美元。表明软件供应链投毒已从边缘风险升级为核心安全威胁,亟需升级防御策略。
博客
【重磅发布】2025年度软件供应链投毒风险研究报告
02-28 203
2025年开源软件供应链投毒威胁显著加剧,全年投毒包总量达59,000个,较2024年增长超50%。攻击呈现三大新趋势:定向精准狩猎取代广撒网式攻击;蠕虫式传播(如Shai-Hulud事件)导致大规模感染;目标转向可直接变现的高价值凭据。墨菲安全研究院发布《2025年度软件供应链投毒风险研究报告》,提出自动化检测、终端管控等系统性治理建议,为企业安全团队提供应对方案。
博客
AI Agent失控风险:OpenClaw从提示词注入到skill投毒
02-04 1837
高权限AI代理(如OpenClaw)正面临严重安全风险,包括提示词注入攻击和恶意Skill扩展。研究发现约10%的第三方Skill存在投毒行为,通过文档引导、分阶段投放等方式执行恶意操作,导致数据泄露和权限获取风险。企业应隔离不可信输入、严格审查第三方Skill,并限制代理权限范围。文章提供了相关IOC指标和恶意Skill清单,建议采取沙箱运行、最小权限等防护措施。
博客
墨菲安全连续入选《中国网络安全新势力30强》,实力领航软件供应链安全
02-03 183
近日,网络安全垂直领域的产业研究机构——数说安全,发布了备受瞩目的《2025年中国网络安全新势力30强》榜单。墨菲安全凭借在软件供应链安全领域的突出表现与持续创新,连续第二年荣耀登榜,这不仅是对墨菲安全技术实力与产品化能力的持续认可,也印证了公司在产品创新、服务落地与行业贡献方面的长期价值。
博客
SHA1HULUD蠕虫再现:超300NPM包被投毒、 2万仓库信息被窃取
12-04 1284
2025年11月24日,墨菲安全实验室检测到数小时内NPM仓库中超过300个组件被相同的方式投毒,这些包在NPM仓库中发布的新版本仿冒引入Bun运行时,引入 preinstall: node setup_bun.js,以及混淆的 bun_environment.js 文件。
博客
NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息
08-26 683
NPM组件@capacitor-bmo/biometric等多个包存在高危投毒漏洞,安装后会窃取主机名、用户名、IP地址并发送至攻击者服务器。影响ember-lts-4.4、gannache、solana-pump-test等50余个组件特定版本,无修复版本。利用成本低、可能性中,建议立即排查卸载受影响包,删除依赖重装,检查系统异常通信及敏感凭证安全,加强依赖管理。
博客
NPM组件 @mz-codes/const 等窃取主机敏感信息
08-21 628
【高危】NPM组件投毒漏洞影响@mz-codes/const等多个包,安装后会窃取主机名、用户名、IP等敏感信息并发送至攻击者服务器。受影响版本多为特定版本(如@mz-codes/const@1.1.3、orion-ui@0.1.0-9.2.2等),目前无最小修复版本。利用成本低,可能性中。建议立即排查并移除恶意包,删除node_modules和package-lock.json后重装依赖,检查系统安全,加强依赖管理,仅用官方源并定期审计。
博客
Google Chrome V8 <14.1.58 越界写入漏洞
08-21 979
CVE-2025-9132是Google Chrome V8引擎高危越界写入漏洞,影响V8<14.1.58(对应Chrome<141.0.7355.0)。因V8解析C风格for循环内await using声明时存在逻辑缺陷,生成错误字节码,JIT编译器处理时触发越界内存写入,可破坏内存结构导致浏览器渲染器进程执行任意代码。修复通过修改解析函数,强制将相关变量模式视为常量以确保异步资源释放正确处理。建议升级V8至14.1.58+或Chrome至141.0.7355.0+。
博客
NGINX ngx_mail_smtp_module 内存越界读取漏洞
08-21 1726
【中危】NGINX ngx_mail_smtp_module内存越界读取漏洞(CVE-2025-53859)影响版本[0.7.22, 1.29.1)。启用该模块且smtp_auth设为none时,认证服务器返回Auth-Wait响应会触发认证错误处理缺陷,导致内存越界读取,泄露服务器数据。建议升级至1.29.1及以上版本,或修改smtp_auth为非none方法,禁用不必要的smtp模块。
博客
NPM组件 @angular_devkit/core 等窃取主机敏感信息
08-21 999
【高危】多个NPM组件(如@angular_devkit/core、microsoft-bonsai-api等)存在投毒风险,安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响范围广,涉及Angular开发工具、微软Bonsai API、Solana生态等领域组件。利用成本低,建议立即排查移除受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全,加强依赖管理,避免使用未知来源包。
博客
NPM组件 @amiga-fwk-nodejs/log 等窃取主机敏感信息
08-21 1005
【高危】NPM组件投毒漏洞,涉及@amiga-fwk-nodejs/log、rush-plugins等多个包。安装受影响版本后,会窃取主机名、用户名、工作目录、IP等敏感信息并发送至攻击者服务器。利用成本低,影响范围广。建议立即排查并卸载恶意包,删除node_modules和package-lock.json后重装依赖,全面检查系统安全,重置敏感凭证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值