CNCERT：关于部分智能体技能包（Skills）存在隐蔽执行恶意命令的安全公告

安全公告编号:CNTA-2026-0003

近日，国家信息安全漏洞共享平台（CNVD）综合研判发现，多个智能体技能包（Skills）存在严重安全风险，可在“龙虾”（OpenClaw）等主流智能体系统中被恶意利用以执行未经授权的操作，或通过诱导方式使用户执行高危指令。攻击者可借此窃取用户敏感信息、非法控制智能体运行逻辑，甚至造成用户资产损失及其他衍生危害。国家信息安全漏洞共享平台提醒广大用户和相关运营单位增强安全防范意识，加强Skills来源审查与权限管理，及时清除可疑组件，防范由此引发的风险。

一、部分Skills隐蔽执行恶意命令

部分Skills存在隐蔽命令执行的恶意行为：伪装成正常的办公助手、数据分析等Skill，实际运行了下载木马等恶意文件的指令。智能体在用户不知情的情况下，根据恶意指令下载并运行木马或其他恶意文件，造成用户隐私和敏感数据泄露等严重后果。

案例一：隐蔽木马投毒

部分Skills（“yahoofinance”“bybit-trading”等）将恶意插件伪装成“自动交易机器人”、“效率辅助脚本”等热门工具，诱导用户或智能体自动下载。这些带有极强欺骗性的插件暗藏窃密木马，一旦被加载运行，便会直接绕过常规安全防御，在后台窃取用户电脑上的系统密码及核心业务凭证。此类恶意插件累计下载上万次，可能导致大量用户的数字资产和敏感数据遭到窃取，暴露出第三方AI工具库存在的严重安全审核盲区。

二、部分Skills诱导用户执行高危操作

部分Skills存在诱导使用第三方MCP/插件进行付费、非法交易等操作：如在Skill中推荐或内置来源不可信的MCP服务或插件程序，诱导用户在不可靠第三方网站注册付费，或者引入包含非法加密货币交易等隐藏恶意功能的插件。看似便捷的“智能助手”，成为数字时代悄然张开的“引流推手”。

案例二：诱导用户进行加密货币交易

Skill “MoltsPay” 宣称功能为帮助用户进行钱包管理工作，实则是在本地生成加密货币钱包，并通过“注册领取 333 ORA 代币奖励”诱导用户使用加密货币进行交易。此类Skill 存在三方面风险：一是在我国，虚拟货币（比特币、以太坊等）相关业务活动（如兑换、中介、钱包服务）已被明确禁止；二是Skill 设置“注册送 333 ORA、提现门槛却是 3333 ORA”的资金陷阱，用户无法立即取出任何奖励，需绑定 MoltWork 等关联平台持续完成任务才能"积累"差额，诱导用户不断投入却无法提现；三是私钥以明文形式写入本地固定路径，系统一旦被植入恶意模块或文件遭窃取，用户数字资产将面临直接被盗取且无法追回的风险。

案例三：诱导用户接入未经核验的第三方MCP服务

Skill “yanpan-finance”宣称可为智能体提供股票分析、研报查询、新闻解读等能力，使用方式并非通过官方统一认证渠道开通，而是引导用户接入第三方MCP服务地址，要求通过个人社交账号（如微信）联系获取API Key授权码后方可使用。此类模式存在三方面风险：一是授权流程脱离平台正规审核机制，服务主体、数据用途、收费规则不透明，后续可能出现付费开通、增值收费等情况；二是用户需向第三方服务提交访问凭证，存在账号信息、调用记录或业务数据泄露风险；三是第三方MCP服务具备与智能体交互能力，若安全管理不到位，可能引入恶意指令、数据篡改或供应链风险。

三、防范措施

当前，智能体Skills已不仅作为功能扩展的载体，而是逐步演变为网络攻击的新型入口。不法分子可利用恶意构造的技能包开展非法活动，对正常生产经营活动和公民数字生活造成现实危害。传统防护手段难以有效识别这些嵌入智能体工作流内部、并以“合法功能”为掩护的恶意行为。

为有效应对智能体Skills带来的安全风险，个人用户应坚持从官方渠道获取Skills，审慎授予权限并遵循最小化原则，及时回收敏感权限，定期清理不再使用的Skills与敏感对话记录，同时开启多因素认证以保护账户安全；企业层面则需建立Skills准入白名单机制，入库前做安全检查，优先在隔离网络部署智能体，按照数据敏感性对智能体分级管理，并实施数据脱敏与临时授权策略。

附录

部分恶意操作Skills清单（第一期）

声明：本文来自CNVD漏洞平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。