文 | 中国工业互联网研究院安全研究所所长、高级工程师 钮艳;中国工业互联网研究院(工业和信息化部密码应用研究中心) 马小青* 李灿 徐慧
随着“龙虾”(OpenClaw)等智能体相继涌现,人工智能(AI)技术正经历从对话机器人的单一交互模式向智能体复杂任务自主执行的历史性跨越。在此背景下,技能(Skills)作为智能体生态的核心功能模块,以其高度模块化、可复用、可分发的特性,已成为驱动智能体发展的重要应用形态。在此过程中,各类技能分发平台相继出现,生态规模持续扩大。截至2026年5月,ClawHub等技能分发平台已达28个,技能总量超150万个,覆盖办公自动化、代码开发、网页自动化等典型应用场景。与此同时,这类平台也引入了提示词注入、过度授权等安全风险,可能引发网络攻击、数据泄露、系统失控等安全事件。
技能是指智能体执行特定任务的模块化能力单元,通过封装任务指令、执行脚本及参考资源,为智能体提供完成特定任务所需的专业知识与操作规范。一个技能可以赋予智能体文件管理、代码执行、数据检索、API调用等多种能力,是智能体从理解指令到执行操作的核心桥梁。技能作为智能体与外部世界交互的核心接口,也是相关安全风险的主要载体与放大器。因此,深入研究智能体技能所面临的安全威胁及其防护机制,对于有效化解新兴技术应用带来的现实风险、保障智能体生态可持续发展具有重要现实意义。
一、技能安全现状
随着技能生态的快速发展,技能安全呈现“点多、面广、链条长”的风险特征,从技能本身的代码质量,到框架层的权限管控设计,再到平台侧的供应链审核机制,安全短板贯穿技能全生命周期,潜在危害不容小觑。
(一)技能原生安全隐患突出,整体安全水平堪忧
网络安全公司Snyk对ClawHub技能的安全评测显示,36.82%的技能存在至少一项安全缺陷,技能生态整体安全水平较低,安全形势不容乐观。
一是提示词注入风险广泛存在。测试结果表明,大量技能存在提示词注入风险,这类攻击门槛低、成功率高。攻击者通常采用以下两种注入方式:直接注入通过伪造系统规则、冒充管理权限等手段诱导AI绕过原有安全限制。一旦含有此类漏洞的技能被发布至分发平台,可被大量用户复用,单点漏洞即可演变为生态级威胁;间接注入则将恶意指令隐藏于常用文档等外部数据源中,攻击静默执行,用户难以察觉,而技能的模块化封装使这类攻击能随安装过程自动部署至用户系统,进一步扩大了危害范围。二是代码漏洞风险突出。大量技能存在代码安全相关漏洞风险,主要涉及动态执行、命令调用等高危风险,以及硬编码凭证明文泄露、路径穿越漏洞等中危风险,可被用于后门植入、远程操控等攻击场景,威胁系统稳定运行。值得关注的是,技能的模块化分发特性使含有注入漏洞的技能可被大规模复用,将单点风险转化为生态级威胁。
(二)技能权限管控边界模糊,过度授权与持续风险并存
技能权限管控机制的缺位表现为授权前的边界模糊和授权后的监管真空,使得技能得以长期超权限运行,为系统带来了持续的潜在风险。
一是智能体框架权限边界约束不足,技能超范围申请权限现象普遍。相关研究表明,部分智能体框架虽具有权限提示机制,但未对技能可访问的系统资源范围进行严格划定,为技能超范围获权提供了框架层面的条件。抽检测试发现,超3%的技能申请超出其实际所需的权限,未遵循最小权限原则。其中,30%申请了管理员级系统控制超级权限,45%具备任意命令执行权限,这些技能可对系统实施全面控制,存在严重安全隐患。二是技能授权后缺乏持续复核机制,预埋安全隐患。现有智能体框架普遍采用“一次授权、持续生效”的信任机制,技能在版本更新时可能引入安全缺陷或被植入恶意代码,而框架不会重新触发授权校验与风险提示,导致合法技能被恶意篡改后仍能以原有权限持续运行,对系统构成潜在威胁。
(三)供应链管控形同虚设,多环节潜藏安全隐患
从技能的开发、发布到分发的全链条来看,平台准入发布、组件依赖引入等供应链各环节存在管控缺位,导致外部攻击可系统性渗透。
一是准入发布“无门槛”,恶意技能得以泛滥。技能分发平台普遍缺乏严格的身份核验与技能前置审核机制,攻击者可通过单一账号批量上传大量恶意技能包。例如2026年2月,ClawHub平台在7天内被集中上传1184个恶意技能,涉及12个发布账号,其中单一账号上传数量达677个。这些账号均为新注册的空白账号,恶意技能累计下载量达数万次,导致安全风险急剧扩散。二是组件引入“不设防”,漏洞隐患易沿依赖链条隐蔽传播。测评显示,超33%的技能间接依赖第三方组件或外部工具,可远程调用、执行未经安全审核的开源代码,或间接引用含高危漏洞的旧版本组件、仿冒组件,显著扩大安全风险敞口。
二、技能安全风险及影响分析
技能安全风险不仅来自技术漏洞,更因其可借智能体的自主执行能力被快速放大与扩散。这类风险隐蔽性强、扩散快、危害链条长,可从操纵AI决策、控制系统,到通过供应链渗透,对用户、平台乃至整体技能生态构成系统化威胁。
(一)技能原生安全风险易导致决策篡改和系统失控
当前,技能原生安全隐患的危害路径具有高度隐蔽性,危害主要体现在决策篡改与系统失控两个方面。
一是通过提示词注入操纵AI决策。攻击者将恶意指令伪装为正常输入,诱导AI误执行越权操控、窃取系统敏感信息等恶意操作。尤其是间接注入攻击,恶意指令隐藏于外部数据源,沿AI正常路径执行,难以被及时识别和阻断。二是利用技能代码漏洞夺取系统权限。技能代码中的硬编码凭证、路径穿越等漏洞,可被攻击者用于植入恶意代码并篡改执行逻辑,逐步提升权限,实现对底层服务器的长期控制,导致核心数据泄露、内网失陷或业务中断。
(二)技能权限管控不足致使用户系统面临长期安全威胁
权限的过度授权与审核机制的双重缺失,使风险持续潜伏于用户系统中。
一是过度授权使用户终端面临持续暴露的风险。技能通常拥有文件读写、系统命令执行及网络访问等高危权限。若被恶意利用,攻击者可在用户无感知状态下访问本地文件、调用敏感接口并外泄数据。尤其当技能同时具备系统控制与任意命令执行权限时,攻击者可借此绕过访问控制、执行任意指令并持久驻留,严重威胁终端安全。二是审核机制缺失使“带毒”技能长期潜伏。恶意代码可依附于合法技能,继承其权限并正常执行,致使攻击行为难以被监测系统识别。由于缺乏有效的权限与行为异常检测机制,此类风险难以及时发现和清除,导致敏感信息持续面临泄露威胁。
(三)恶意技能沿供应链扩散造成广泛威胁与持续隐患
恶意技能可借助平台分发机制或依赖链条向外蔓延,波及范围广、持续时间长、溯源难度大。
一是通过平台规模化传播,影响范围广泛。恶意技能利用平台批量分发机制,在短时间内实现大规模扩散。一旦被规模化安装,受影响终端将面临数据窃取、后门植入等风险,波及大量用户与设备。二是依赖组件成为隐蔽的风险传递渠道。上游依赖组件若被植入恶意代码、存在高危漏洞或被仿冒替换,风险将随依赖链向下游技能及终端用户隐蔽扩散。由于依赖关系复杂、链条冗长,影响范围难以及时识别与修复,攻击者可长期潜伏于合法技能的依赖链条中,持续实施信息窃取、横向渗透等攻击,显著扩大风险影响面。
三、国内外智能体安全治理进展与思考
针对技能安全的系统性威胁,国际社会和我国政府均已采取积极行动,安全治理实践取得了积极进展,但针对技能这一新型载体,现有安全治理体系仍存在较大的改进与完善空间。
(一)国际治理框架的探索与实践
在国际层面,智能体与AI应用安全治理已引起高度重视,并形成了若干具有重要参考价值的标准框架。开放式Web应用程序安全项目(OWASP)发布的《LLM应用安全风险Top10》(2025版),系统梳理了包括供应链漏洞、过度授权等十大核心风险类型,为AI应用的安全开发和运营提供了重要参考。
欧盟《人工智能法案》确立了基于风险分级的监管思路,对高风险AI系统提出了透明度、问责制、安全测试等强制性要求,并将供应链安全纳入高风险AI系统的合规范畴。这一分级管控思路对于技能安全治理具有重要的制度借鉴价值。2025年,全球多个主要经济体加快推进AI安全治理落地,各国在标准规范、测试认证、平台责任等方面的探索持续深入,产业界也通过自律承诺等方式积极参与治理实践。
(二)我国人工智能安全治理政策进展
近年来,我国持续加强人工智能安全治理顶层设计,相关政策标准体系建设明显提速。2023年7月,国家网信办联合七部门发布的《生成式人工智能服务管理暂行办法》,作为全球首部专门针对生成式AI的国家级法规正式发布,初步建立了生成式AI的安全监管基础。2025年7月,工业和信息化部发布《工业和信息化领域人工智能安全治理标准体系建设指南(2025版)》,系统部署了AI安全治理的标准化路径。2025年世界人工智能大会期间,上海人工智能实验室等单位发布了《中国人工智能安全承诺框架》,积极推动头部AI企业开展自愿性安全承诺,为产业界参与安全治理提供了规范路径。2026年5月,国家网信办、国家发展改革委、工业和信息化部联合印发《智能体规范应用与创新发展实施意见》(以下简称《实施意见》),这是我国首次在国家层面面向智能体出台的专项政策文件。《实施意见》将智能体安全、可靠、可信作为产业发展的底线要求,专章部署守牢安全底线,明确要求做好智能体权限管理、行为管控等工作,并提出根据应用场景和潜在影响构建分类分级治理框架,推动建设智能体合规服务体系。
四、对策建议
针对上述安全风险与治理问题,建议从技能测评与供应链安全、权限安全管理、政策标准完善三个方面构建技能安全治理体系。
(一)强化技能测评与供应链安全管理,筑牢技能安全底线
技能安全风险的源头在于技能自身的质量缺陷与供应链环节的管控缺位,应以安全评测机制建设为抓手,同时建立供应链安全预警体系,从源头遏制恶意技能的生成与扩散。
一是建立技能安全测评机制。围绕智能体应用场景,建立智能体技能安全评估体系,将代码漏洞排查、提示词注入防护能力、权限合规性等纳入常规检测范围。要求国内智能体开发者及服务提供者,利用沙箱隔离技术常态化识别技能风险,定期对智能体所调用的技能组件进行功能、性能及安全测评。二是建立技能供应链安全信息共享和预警机制。构建国家级恶意技能特征情报库,持续跟踪主要国外技能分发平台的安全动态,重点关注高风险技能的传播路径与扩散规律,及时发布风险提示,引导智能体开发者、服务提供者协同识别和规避高风险技能,提升供应链安全保障能力。
(二)完善技能权限管控机制,防范过度授权与持续安全风险
权限管控失范是技能安全威胁长期存在的重要原因,应从框架层与用户授权层协同发力,通过明确权限边界、完善动态校验机制减少过度授权。
一是明确技能决策权限边界。厘清技能调用过程中的授权边界,对于涉及系统命令执行、全网访问等高危敏感操作,要求落实用户侧授权确认机制,确保技能执行操作不超出用户授权范围,保障用户对智能体自主决策的知情权和最终决策权。二是完善智能体框架授权机制。要求智能体框架开发者完善权限管理机制,在技能发生版本迭代、代码变更等节点时,重新触发授权校验与风险提示,确保更新后的技能权限范围与用户实际授权保持一致。
(三)推动标准制定、监管完善与国际规则参与,构建技能安全治理长效机制
技术与机制层面的治理举措需要制度规范作为支撑,应加快补齐技能安全标准短板,厘清平台监管主体责任,并把握全球规则尚未定型的窗口期积极参与国际治理规则制定。
一是加快制定技能安全专项标准。围绕技能开发安全规范、安全测评方法、平台安全要求、权限管理规范等关键领域,加快研究制定国家标准或行业标准,填补当前治理的规范性空白,为技能开发者、技能分发平台开展安全工作提供统一遵循。二是明确技能安全的监管职责与平台主体责任。在现行网络安全法律框架下,结合技能的特殊属性,研究明确技能分发平台的安全主体责任,包括技能内容审核义务、恶意技能应急下架义务、安全事件报告义务等。探索建立技能安全评级公示制度,赋予用户更充分的安全信息知情权,以市场化机制促进平台提升安全治理水平。三是积极参与国际智能体安全治理规则制定。当前,全球智能体安全治理规则尚处于形成期,国际标准竞争格局尚未固化,建议抓住这一战略时间窗口,积极参与ISO/IEC等国际标准化组织关于AI安全的规则制定工作,推动将我国在技能安全治理领域的实践成果纳入国际规范体系,提升我国在全球AI安全治理中的话语权与影响力。(马小青系本文通信作者)
(本文刊登于《中国信息安全》杂志2026年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
