Snyk研究發現：36%的AI Agent技能包存在提示注入風險

Snyk安全研究人員近日完成了對AI Agent技能生態系統的首次全面安全審計，掃描了來自ClawHub和skills.sh的3984個技能包，發現其中13.4%（534個）存在至少一個嚴重安全問題，包括惡意軟體分發、提示注入攻擊和洩露的金鑰。如果擴充套件到所有嚴重級別，超過三分之一（36.82%，即1467個）的技能包存在至少一個安全缺陷，從硬編碼API金鑰和不安全憑證處理到危險的第三方內容暴露。

Agent技能是可複用的能力包，用於指導AI代理與工具、API或系統資源互動，正迅速成為AI驅動開發的標準。然而，這項研究揭示了其供應鏈安全問題，類似於早期npm和PyPI的困境，但Agent技能擁有前所未有的憑證、檔案系統和API訪問許可權。

研究團隊透過自動化掃描和人工稽核，確認了76個惡意負載，這些負載設計用於憑證盜竊、後門安裝和資料竊取。從這一小部分樣本中，截至釋出時仍有8個惡意技能在ClawHub上公開可用。這表明風險並非理論上的，而是生態系統中正在發生的攻擊。

Agent技能的威脅環境正在惡化：技能釋出速度從1月中旬的每天不到50個飆升至2月初的每天超過500個，增長了10倍。這種爆炸式增長吸引了惡意行為者。2026年2月，OpenSourceMalware.com記錄了首個針對Claude Code和OpenClaw使用者的協調惡意軟體活動，使用了30多個惡意技能。

與傳統包在隔離環境中執行不同，Agent技能繼承其擴充套件的AI代理的完整許可權，包括shell訪問、檔案系統讀寫許可權、環境變數和配置檔案中的憑證訪問權，以及跨會話持久記憶體。而釋出一個新技能僅需要一個SKILL.md檔案和一個註冊一週的GitHub賬戶，無需程式碼簽名、安全審查或預設沙箱。

研究提出的威脅分類包括八個安全策略：提示注入檢測（嚴重）、惡意程式碼檢測（嚴重）、可疑下載檢測（嚴重）、憑證處理檢測（高）、金鑰檢測（高）、第三方內容暴露（中）、不可驗證依賴項（中）和直接資金訪問（中）。分析確定了三種主要攻擊技術：外部惡意軟體分發（透過curl下載密碼保護的ZIP）、混淆資料竊取（base64編碼命令）和安全停用與破壞意圖（修改系統配置或刪除檔案）。

值得注意的是，100%的確認惡意技能包含惡意程式碼模式，而91%同時使用提示注入技術。提示注入操縱代理的推理，使其接受並執行通常會被拒絕的惡意程式碼。這種組合使惡意軟體更加有效。