![]()
![]()
鈕 艷
文 | 中國工業互聯網研究院安全研究所所長、高級工程師 鈕艷;中國工業互聯網研究院(工業和信息化部密碼應用研究中心) 馬小青* 李燦 徐慧
隨著“龍蝦”(OpenClaw)等智能體相繼涌現,人工智能(AI)技術正經歷從對話機器人的單一交互模式向智能體復雜任務自主執行的歷史性跨越。在此背景下,技能(Skills)作為智能體生態的核心功能模塊,以其高度模塊化、可復用、可分發的特性,已成為驅動智能體發展的重要應用形態。在此過程中,各類技能分發平臺相繼出現,生態規模持續擴大。截至2026年5月,ClawHub等技能分發平臺已達28個,技能總量超150萬個,覆蓋辦公自動化、代碼開發、網頁自動化等典型應用場景。與此同時,這類平臺也引入了提示詞注入、過度授權等安全風險,可能引發網絡攻擊、數據泄露、系統失控等安全事件。
技能是指智能體執行特定任務的模塊化能力單元,通過封裝任務指令、執行腳本及參考資源,為智能體提供完成特定任務所需的專業知識與操作規范。一個技能可以賦予智能體文件管理、代碼執行、數據檢索、API調用等多種能力,是智能體從理解指令到執行操作的核心橋梁。技能作為智能體與外部世界交互的核心接口,也是相關安全風險的主要載體與放大器。因此,深入研究智能體技能所面臨的安全威脅及其防護機制,對于有效化解新興技術應用帶來的現實風險、保障智能體生態可持續發展具有重要現實意義。
一、技能安全現狀
隨著技能生態的快速發展,技能安全呈現“點多、面廣、鏈條長”的風險特征,從技能本身的代碼質量,到框架層的權限管控設計,再到平臺側的供應鏈審核機制,安全短板貫穿技能全生命周期,潛在危害不容小覷。
(一)技能原生安全隱患突出,整體安全水平堪憂
網絡安全公司Snyk對ClawHub技能的安全評測顯示,36.82%的技能存在至少一項安全缺陷,技能生態整體安全水平較低,安全形勢不容樂觀。
一是提示詞注入風險廣泛存在。測試結果表明,大量技能存在提示詞注入風險,這類攻擊門檻低、成功率高。攻擊者通常采用以下兩種注入方式:直接注入通過偽造系統規則、冒充管理權限等手段誘導AI繞過原有安全限制。一旦含有此類漏洞的技能被發布至分發平臺,可被大量用戶復用,單點漏洞即可演變為生態級威脅;間接注入則將惡意指令隱藏于常用文檔等外部數據源中,攻擊靜默執行,用戶難以察覺,而技能的模塊化封裝使這類攻擊能隨安裝過程自動部署至用戶系統,進一步擴大了危害范圍。二是代碼漏洞風險突出。大量技能存在代碼安全相關漏洞風險,主要涉及動態執行、命令調用等高危風險,以及硬編碼憑證明文泄露、路徑穿越漏洞等中危風險,可被用于后門植入、遠程操控等攻擊場景,威脅系統穩定運行。值得關注的是,技能的模塊化分發特性使含有注入漏洞的技能可被大規模復用,將單點風險轉化為生態級威脅。
(二)技能權限管控邊界模糊,過度授權與持續風險并存
技能權限管控機制的缺位表現為授權前的邊界模糊和授權后的監管真空,使得技能得以長期超權限運行,為系統帶來了持續的潛在風險。
一是智能體框架權限邊界約束不足,技能超范圍申請權限現象普遍。相關研究表明,部分智能體框架雖具有權限提示機制,但未對技能可訪問的系統資源范圍進行嚴格劃定,為技能超范圍獲權提供了框架層面的條件。抽檢測試發現,超3%的技能申請超出其實際所需的權限,未遵循最小權限原則。其中,30%申請了管理員級系統控制超級權限,45%具備任意命令執行權限,這些技能可對系統實施全面控制,存在嚴重安全隱患。二是技能授權后缺乏持續復核機制,預埋安全隱患。現有智能體框架普遍采用“一次授權、持續生效”的信任機制,技能在版本更新時可能引入安全缺陷或被植入惡意代碼,而框架不會重新觸發授權校驗與風險提示,導致合法技能被惡意篡改后仍能以原有權限持續運行,對系統構成潛在威脅。
(三)供應鏈管控形同虛設,多環節潛藏安全隱患
從技能的開發、發布到分發的全鏈條來看,平臺準入發布、組件依賴引入等供應鏈各環節存在管控缺位,導致外部攻擊可系統性滲透。
一是準入發布“無門檻”,惡意技能得以泛濫。技能分發平臺普遍缺乏嚴格的身份核驗與技能前置審核機制,攻擊者可通過單一賬號批量上傳大量惡意技能包。例如2026年2月,ClawHub平臺在7天內被集中上傳1184個惡意技能,涉及12個發布賬號,其中單一賬號上傳數量達677個。這些賬號均為新注冊的空白賬號,惡意技能累計下載量達數萬次,導致安全風險急劇擴散。二是組件引入“不設防”,漏洞隱患易沿依賴鏈條隱蔽傳播。測評顯示,超33%的技能間接依賴第三方組件或外部工具,可遠程調用、執行未經安全審核的開源代碼,或間接引用含高危漏洞的舊版本組件、仿冒組件,顯著擴大安全風險敞口。
二、技能安全風險及影響分析
技能安全風險不僅來自技術漏洞,更因其可借智能體的自主執行能力被快速放大與擴散。這類風險隱蔽性強、擴散快、危害鏈條長,可從操縱AI決策、控制系統,到通過供應鏈滲透,對用戶、平臺乃至整體技能生態構成系統化威脅。
(一)技能原生安全風險易導致決策篡改和系統失控
當前,技能原生安全隱患的危害路徑具有高度隱蔽性,危害主要體現在決策篡改與系統失控兩個方面。
一是通過提示詞注入操縱AI決策。攻擊者將惡意指令偽裝為正常輸入,誘導AI誤執行越權操控、竊取系統敏感信息等惡意操作。尤其是間接注入攻擊,惡意指令隱藏于外部數據源,沿AI正常路徑執行,難以被及時識別和阻斷。二是利用技能代碼漏洞奪取系統權限。技能代碼中的硬編碼憑證、路徑穿越等漏洞,可被攻擊者用于植入惡意代碼并篡改執行邏輯,逐步提升權限,實現對底層服務器的長期控制,導致核心數據泄露、內網失陷或業務中斷。
(二)技能權限管控不足致使用戶系統面臨長期安全威脅
權限的過度授權與審核機制的雙重缺失,使風險持續潛伏于用戶系統中。
一是過度授權使用戶終端面臨持續暴露的風險。技能通常擁有文件讀寫、系統命令執行及網絡訪問等高危權限。若被惡意利用,攻擊者可在用戶無感知狀態下訪問本地文件、調用敏感接口并外泄數據。尤其當技能同時具備系統控制與任意命令執行權限時,攻擊者可借此繞過訪問控制、執行任意指令并持久駐留,嚴重威脅終端安全。二是審核機制缺失使“帶毒”技能長期潛伏。惡意代碼可依附于合法技能,繼承其權限并正常執行,致使攻擊行為難以被監測系統識別。由于缺乏有效的權限與行為異常檢測機制,此類風險難以及時發現和清除,導致敏感信息持續面臨泄露威脅。
(三)惡意技能沿供應鏈擴散造成廣泛威脅與持續隱患
惡意技能可借助平臺分發機制或依賴鏈條向外蔓延,波及范圍廣、持續時間長、溯源難度大。
一是通過平臺規模化傳播,影響范圍廣泛。惡意技能利用平臺批量分發機制,在短時間內實現大規模擴散。一旦被規模化安裝,受影響終端將面臨數據竊取、后門植入等風險,波及大量用戶與設備。二是依賴組件成為隱蔽的風險傳遞渠道。上游依賴組件若被植入惡意代碼、存在高危漏洞或被仿冒替換,風險將隨依賴鏈向下游技能及終端用戶隱蔽擴散。由于依賴關系復雜、鏈條冗長,影響范圍難以及時識別與修復,攻擊者可長期潛伏于合法技能的依賴鏈條中,持續實施信息竊取、橫向滲透等攻擊,顯著擴大風險影響面。
三、國內外智能體安全治理進展與思考
針對技能安全的系統性威脅,國際社會和我國政府均已采取積極行動,安全治理實踐取得了積極進展,但針對技能這一新型載體,現有安全治理體系仍存在較大的改進與完善空間。
(一)國際治理框架的探索與實踐
在國際層面,智能體與AI應用安全治理已引起高度重視,并形成了若干具有重要參考價值的標準框架。開放式Web應用程序安全項目(OWASP)發布的《LLM應用安全風險Top10》(2025版),系統梳理了包括供應鏈漏洞、過度授權等十大核心風險類型,為AI應用的安全開發和運營提供了重要參考。
歐盟《人工智能法案》確立了基于風險分級的監管思路,對高風險AI系統提出了透明度、問責制、安全測試等強制性要求,并將供應鏈安全納入高風險AI系統的合規范疇。這一分級管控思路對于技能安全治理具有重要的制度借鑒價值。2025年,全球多個主要經濟體加快推進AI安全治理落地,各國在標準規范、測試認證、平臺責任等方面的探索持續深入,產業界也通過自律承諾等方式積極參與治理實踐。
(二)我國人工智能安全治理政策進展
近年來,我國持續加強人工智能安全治理頂層設計,相關政策標準體系建設明顯提速。2023年7月,國家網信辦聯合七部門發布的《生成式人工智能服務管理暫行辦法》,作為全球首部專門針對生成式AI的國家級法規正式發布,初步建立了生成式AI的安全監管基礎。2025年7月,工業和信息化部發布《工業和信息化領域人工智能安全治理標準體系建設指南(2025版)》,系統部署了AI安全治理的標準化路徑。2025年世界人工智能大會期間,上海人工智能實驗室等單位發布了《中國人工智能安全承諾框架》,積極推動頭部AI企業開展自愿性安全承諾,為產業界參與安全治理提供了規范路徑。2026年5月,國家網信辦、國家發展改革委、工業和信息化部聯合印發《智能體規范應用與創新發展實施意見》(以下簡稱《實施意見》),這是我國首次在國家層面面向智能體出臺的專項政策文件。《實施意見》將智能體安全、可靠、可信作為產業發展的底線要求,專章部署守牢安全底線,明確要求做好智能體權限管理、行為管控等工作,并提出根據應用場景和潛在影響構建分類分級治理框架,推動建設智能體合規服務體系。
四、對策建議
針對上述安全風險與治理問題,建議從技能測評與供應鏈安全、權限安全管理、政策標準完善三個方面構建技能安全治理體系。
(一)強化技能測評與供應鏈安全管理,筑牢技能安全底線
技能安全風險的源頭在于技能自身的質量缺陷與供應鏈環節的管控缺位,應以安全評測機制建設為抓手,同時建立供應鏈安全預警體系,從源頭遏制惡意技能的生成與擴散。
一是建立技能安全測評機制。圍繞智能體應用場景,建立智能體技能安全評估體系,將代碼漏洞排查、提示詞注入防護能力、權限合規性等納入常規檢測范圍。要求國內智能體開發者及服務提供者,利用沙箱隔離技術常態化識別技能風險,定期對智能體所調用的技能組件進行功能、性能及安全測評。二是建立技能供應鏈安全信息共享和預警機制。構建國家級惡意技能特征情報庫,持續跟蹤主要國外技能分發平臺的安全動態,重點關注高風險技能的傳播路徑與擴散規律,及時發布風險提示,引導智能體開發者、服務提供者協同識別和規避高風險技能,提升供應鏈安全保障能力。
(二)完善技能權限管控機制,防范過度授權與持續安全風險
權限管控失范是技能安全威脅長期存在的重要原因,應從框架層與用戶授權層協同發力,通過明確權限邊界、完善動態校驗機制減少過度授權。
一是明確技能決策權限邊界。厘清技能調用過程中的授權邊界,對于涉及系統命令執行、全網訪問等高危敏感操作,要求落實用戶側授權確認機制,確保技能執行操作不超出用戶授權范圍,保障用戶對智能體自主決策的知情權和最終決策權。二是完善智能體框架授權機制。要求智能體框架開發者完善權限管理機制,在技能發生版本迭代、代碼變更等節點時,重新觸發授權校驗與風險提示,確保更新后的技能權限范圍與用戶實際授權保持一致。
(三)推動標準制定、監管完善與國際規則參與,構建技能安全治理長效機制
技術與機制層面的治理舉措需要制度規范作為支撐,應加快補齊技能安全標準短板,厘清平臺監管主體責任,并把握全球規則尚未定型的窗口期積極參與國際治理規則制定。
一是加快制定技能安全專項標準。圍繞技能開發安全規范、安全測評方法、平臺安全要求、權限管理規范等關鍵領域,加快研究制定國家標準或行業標準,填補當前治理的規范性空白,為技能開發者、技能分發平臺開展安全工作提供統一遵循。二是明確技能安全的監管職責與平臺主體責任。在現行網絡安全法律框架下,結合技能的特殊屬性,研究明確技能分發平臺的安全主體責任,包括技能內容審核義務、惡意技能應急下架義務、安全事件報告義務等。探索建立技能安全評級公示制度,賦予用戶更充分的安全信息知情權,以市場化機制促進平臺提升安全治理水平。三是積極參與國際智能體安全治理規則制定。當前,全球智能體安全治理規則尚處于形成期,國際標準競爭格局尚未固化,建議抓住這一戰略時間窗口,積極參與ISO/IEC等國際標準化組織關于AI安全的規則制定工作,推動將我國在技能安全治理領域的實踐成果納入國際規范體系,提升我國在全球AI安全治理中的話語權與影響力。(馬小青系本文通信作者)
(本文刊登于《中國信息安全》雜志2026年第5期)
![]()
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.