• 提示词注入（Prompt Injection）： 如何诱导 AI 绕过道德准则。

• 幻觉风险： AI 一本正经地胡说八道。

• 内容合规： 确保输出不包含敏感信息。

1. 1.任务编排： 定义了多步操作的逻辑。
2. 2.外部通信： 与第三方 API 或 Webhook 交互。
3. 3.系统操作： 读写本地文件、执行 Shell 脚本。

• 访问私人数据： 能读到你的 SSH 密钥、API 凭证或本地数据库。

• 接触不可信内容： 能处理来自外部的邮件、Skill 说明文件或记忆文件。

• 能够外部通信： 拥有网络出口，可以将数据外发。

定义： 开发者故意创建并发布包含恶意攻击逻辑的 Skill。

深度解析： 攻击者利用功能诱饵诱导用户安装。这是最底层的信任崩塌。

实战场景 (ClawHavoc 运动)：  2026 年初爆发的大规模 AI 智能体供应链攻击事件。黑客在 OpenClaw 平台的技能市场 ClawHub 中批量上传了包括 web-research-pro 在内的上千个恶意技能。该技能伪装成网页总结类工具，在用户调用其执行任务时，利用 Agent 已获取的浏览器高权限，静默扫描用户本地环境，窃取并打包 GitHub 私有仓库、SSH 密钥等信息外传。由于平台审核缺失，该攻击短时间内波及大量开发者。

定义： 技能依赖的第三方库（如 Python/JS 包）或托管平台遭到篡改。

深度解析： 技能本身看起来合法，但它像套娃一样引入了有毒的底层依赖。

实战场景： 在 Snyk 的审计中发现，大量处理 Excel 的技能引用了过时的第三方库。攻击者通过在公共仓库发布同名的高版本毒包，诱导 Agent 环境自动升级。当技能处理财务报表时，恶意代码会嗅探报表中的账户余额和交易 ID 并同步到匿名服务器。

定义： 技能的描述信息（Manifest/YAML）被伪造，导致 Agent 误用。

深度解析： Agent 靠自然语言匹配工具。攻击者通过SEO 优化让自己的恶意工具排在匹配首位。

实战场景： 攻击者发布恶意技能并将其描述配置为与官方“财务助手”高度重合。用户发出“分析工资表”指令时，模型因描述匹配度更高而误选了恶意工具，导致敏感薪酬数据被发往不可信终端。

定义： 授予技能的权限远超其任务所需（例如只需读，却给写）。

深度解析： 这是目前最普遍的系统性缺陷，极大放大了 Prompt Injection（提示词注入）的破坏力。

实战场景： 一个只需读取 Git 日志的统计技能被授予了 System:Write 权限。黑客通过一段恶意的 README 注入指令，命令 Agent 调用该技能删除了生产环境的配置文件。

定义： 技能直接在宿主机环境运行，缺乏沙箱（Sandbox）保护。

深度解析： 如果没有强隔离，技能中的一段代码就能通过执行 Shell 指令直接控制你的电脑。

实战案例 (CVE-2025-59536)： 在针对 Claude Code 的研究中发现，由于默认信任本地加载的技能且缺乏路径隔离，攻击者可以通过构造特殊的 skill.json 触发远程代码执行（RCE），直接接管开发者的终端。

定义： 技能在不同 Agent 框架（如 MCP 转 OpenClaw）迁移时，原有的安全约束失效。

深度解析： 不同平台对权限的定义和解析逻辑不同，导致在 A 平台受控的动作，在 B 平台变成了高危越权。

实战场景： 一个在企业内网受限运行的本地 Skill，被开发者简单适配后发布到云端 Agent 平台，由于云端缺乏同等的内网防火墙策略，导致该 Skill 变成了扫描企业内网的跳板。

定义： 技能解析 Agent 传来的结构化参数（JSON/YAML）时存在逻辑漏洞。

深度解析： 攻击者绕过模型过滤，直接给 Skill 解析器喂毒药。

实战场景： 攻击者在对话中夹带一段精心构造的恶意 JSON 参数。当模型将其原封不动转发给 Skill 里的 Python 解析器时，触发了代码注入，黑客绕过 LLM 限制直接控制了后台进程。

定义： 技能逻辑在更新后发生非预期变化，甚至悄悄增加了高危功能。

深度解析： 安全审计具有时效性。昨天的安全 Skill，可能因为今天的功能迭代引入隐私泄露。

实战场景： 某办公 Skill 更新到 v1.2 后，默认开启了操作录制以优化模型功能，导致用户的屏幕截图和剪贴板内容被自动上传到第三方服务器。

定义： 组织对引入的 Skill 缺乏自动化的静态和动态安全审计。

深度解析： 仅仅依靠人工复核无法覆盖自然语言驱动的代码逻辑。

实战场景： 企业内部部署了数百个提高效率的开源 Skill，但由于没有集成到 CI/CD 的扫描流程中，导致一个包含已知 CVE 漏洞的过时 Skill 成了黑客进入内网的后门。

        定义： 缺乏 Skill 资产清单、审批流程和审计日志记录。

        深度解析： 这是典型的影子 AI管理风险。

        实战场景： 某公司发生敏感数据泄露，但由于 Agent 调用的所有 Skill 都没有留存调用日志（Log），安全团队无法确定究竟是哪个员工使用的哪款插件泄露了数据。

1. 1.这个 Skill 的身份可信吗？（签名校验）
2. 2.这个操作经过授权了吗？（最小权限原则）
3. 3.执行环境安全吗？（沙箱隔离）