Snyk研究发现：36%的AI Agent技能包存在提示注入风险

Snyk安全研究人员近日完成了对AI Agent技能生态系统的首次全面安全审计，扫描了来自ClawHub和skills.sh的3984个技能包，发现其中13.4%（534个）存在至少一个严重安全问题，包括恶意软件分发、提示注入攻击和泄露的密钥。如果扩展到所有严重级别，超过三分之一（36.82%，即1467个）的技能包存在至少一个安全缺陷，从硬编码API密钥和不安全凭证处理到危险的第三方内容暴露。

Agent技能是可复用的能力包，用于指导AI代理与工具、API或系统资源交互，正迅速成为AI驱动开发的标准。然而，这项研究揭示了其供应链安全问题，类似于早期npm和PyPI的困境，但Agent技能拥有前所未有的凭证、文件系统和API访问权限。

研究团队通过自动化扫描和人工审核，确认了76个恶意负载，这些负载设计用于凭证盗窃、后门安装和数据窃取。从这一小部分样本中，截至发布时仍有8个恶意技能在ClawHub上公开可用。这表明风险并非理论上的，而是生态系统中正在发生的攻击。

Agent技能的威胁环境正在恶化：技能发布速度从1月中旬的每天不到50个飙升至2月初的每天超过500个，增长了10倍。这种爆炸式增长吸引了恶意行为者。2026年2月，OpenSourceMalware.com记录了首个针对Claude Code和OpenClaw用户的协调恶意软件活动，使用了30多个恶意技能。

与传统包在隔离环境中执行不同，Agent技能继承其扩展的AI代理的完整权限，包括shell访问、文件系统读写权限、环境变量和配置文件中的凭证访问权，以及跨会话持久内存。而发布一个新技能仅需要一个SKILL.md文件和一个注册一周的GitHub账户，无需代码签名、安全审查或默认沙箱。

研究提出的威胁分类包括八个安全策略：提示注入检测（严重）、恶意代码检测（严重）、可疑下载检测（严重）、凭证处理检测（高）、密钥检测（高）、第三方内容暴露（中）、不可验证依赖项（中）和直接资金访问（中）。分析确定了三种主要攻击技术：外部恶意软件分发（通过curl下载密码保护的ZIP）、混淆数据窃取（base64编码命令）和安全禁用与破坏意图（修改系统配置或删除文件）。

值得注意的是，100%的确认恶意技能包含恶意代码模式，而91%同时使用提示注入技术。提示注入操纵代理的推理，使其接受并执行通常会被拒绝的恶意代码。这种组合使恶意软件更加有效。