阿里云ClawHub Skill扫描：3万个AI Agent技能中的安全度量

随着AI Agent框架的快速发展，以OpenClaw为代表的技能分发平台正在崛起，AI Agent通过安装Skill获得外部工具调用、数据处理、自动化执行等能力。然而，与npm、PyPI等成熟包管理生态相比，AI Skill生态的安全治理几乎处于真空状态。Skill作为AI时代的“软件包”，不仅是代码，更是自然语言提示词、执行脚本与权限声明的混合体，其攻击面远超传统软件包。

AI Skill的12类攻击面与三类核心威胁

阿里云云安全中心技术团队对收集到的30,068个Skill进行了系统性安全扫描。扫描覆盖互联网累计收集的Skill，去重后总计30,068个，其中已上线平台的达26,353个。扫描结果显示，各类Skill中高危占比差异显著：加密货币类Skill高危占比达5.2%，绝对数量位居前列（2,092个），是当前最危险的品类；而“其他”类虽总量不大，但高危占比达5.7%，表明大量未被正确分类的长尾Skill可能藏匿更高风险。

AI检测引擎 vs 传统扫描引擎：技术碰撞与互补

通过对全部检出样本进行威胁类型分类标注，安全团队识别出AI Skill的12类攻击面。其中，三类核心威胁尤为突出： • 恶意投递与下载器（34.6%）：占比最高，表明攻击者已形成成熟的供应链攻击链路，通过在Skill描述中伪装“前置依赖安装步骤”，诱导Agent执行恶意下载。这与npm投毒攻击高度相似，但隐蔽性更强——用户天然信任Agent执行的操作流程。 • 提示注入与指令操控（11.8%）：这是传统安全工具完全无法覆盖的领域。攻击者通过精心构造的自然语言描述，操纵Agent执行超出用户意图的操作，如覆盖系统文件、泄露敏感数据、关闭安全防护等。Skill描述本身作为prompt，天然具备“越权指令”的载体属性。 • 凭据窃取与钓鱼（15.7%）：攻击目标从“攻击代码”转向“攻击配置”，通过Skill描述中的链接、配置示例、安装脚本等手段，窃取API Key、私钥、凭证文件等。

检出结果交叉对比揭示了一个关键发现：两者检出结果的交集仅为3.4%。这一现象的根本原因在于检测对象维度完全不同——传统SAST/AV检测的是“代码特征”，如已知恶意hash、危险函数调用模式（eval()、exec()、反向Shell代码片段）；而AI检测引擎识别的是“行为意图”，即Skill描述中自然语言的真实目的。

案例一：ClawHub伪装投递器。攻击者发布名为ClawHub的Skill，伪装成官方CLI工具，在描述的Prerequisites中嵌入恶意下载步骤，诱导用户从攻击者控制的GitHub Release下载恶意二进制。传统引擎漏报原因在于：npm install操作本身合法，GitHub Release链接本身不是恶意URL，恶意意图隐藏在自然语言的“安装指引”上下文中。 案例二：intel-asrai私钥窃取。攻击者以“AI搜索服务”为名，要求用户配置加密货币私钥到环境变量或配置文件中，通过URL参数传递私钥到远程服务器。由于JSON配置文件本身合法，传统引擎无法识别私钥作为URL查询参数传递的安全风险。

典型攻击链还原

基于扫描发现，安全团队提出四条行业建议： 1. 平台侧：建立Skill安全准入机制，发布前强制安全扫描（代码+Prompt语义+权限声明），建立安全评分体系，对高风险Skill降权或下架。 2. 框架侧：实施最小权限原则，Skill安装时应声明所需权限，敏感操作应弹窗确认或进入审计日志。 3. 用户侧：采用零信任安装策略，不要盲目信任Agent安装的任何Skill，审查描述中的Prerequisites和安装步骤，警惕要求配置私钥、API Key的Skill。 4. 行业侧：共建AI Skill安全标准，定义安全规范，建立行业级漏洞响应机制，推动Skill SBOM标准建设。

如有侵权，请联系删除。