如果你读了上一篇文章《你的AI Agent可能在帮黑客"搬砖"》,大概会觉得后背发凉——74.6%的Skill有网络权限,24.7万次恶意安装,230万美元被盗……
但你可能会想:那我怎么办?不用AI Agent了?退回到手动写代码的时代?
不用。就像你不会因为互联网有病毒就不用电脑,你也不该因为AI Agent有安全风险就不用它。
关键是:知道风险在哪,然后做对的事。
第一步:管好你的Skill插件
这是最核心、最有效的建议。没有之一。
AI Agent的安全问题,绝大多数不是来自AI模型本身,而是来自你安装的那些第三方Skill。朱雀实验室的数据很清楚:74.6%的Skill声明了网络权限,这些Skill能读取你电脑上的文件并联网外传。
所以第一步,也是最简单的一步:少装,精装,定期清理。
具体做法:
✦ 每个季度检查一次已安装的Skill,不用的直接删除
✦ 安装前先看权限声明——一个查天气的Skill要文件读写权限?问一句"为什么"
✦ 优先选择官方认证或高知名度的Skill,但不要盲目信赖排行榜(ClawHavoc事件中Top 7里有5个是恶意Skill)
✦ 企业环境:建立Skill采购白名单,禁止随意安装未审核插件
第二步:给你的Agent设置"最小权限"
我在上一篇文章里说过一个关键问题:AI Agent被授予了过高的系统权限,而Skill和Agent运行在同一个安全上下文中。这意味着一个恶意Skill能拿到Agent的所有权限。
解决这个问题的思路很简单:给你的AI Agent一个"有限权限账户",而不是"管理员账户"。
具体做法:
✦ 不要给AI Agent整个文件系统权限,只给必要的目录
✦ 限制Agent只能访问白名单内的API端点
✦ 敏感文件(SSH私钥、AWS凭证、浏览器cookie)单独保护
✦ 为Agent创建一个专用的低权限系统用户
简单理解:你去住酒店,酒店给你一张只能开自己房门的房卡,而不是一张能开所有房门的万能卡。AI Agent也是。
第三步:关注你的Agent做了什么——建立审计意识
很多安全问题之所以发生,不是因为攻击者多高明,而是因为用户根本不关注Agent在做什么。
你装了一个Skill,它每天在后台默默联网,把文件传出去——你可能一年都不会看一眼。
具体做法:
✦ 定期查看Agent的调用日志(Claude Code、OpenClaw等平台都提供历史记录)
✦ 留意异常行为:突然变慢了?频繁联网?请求了不相关的文件?
✦ 企业用户:部署日志审计系统,记录每次文件访问和网络请求
ClawHavoc攻击中,恶意Skill会优先窃取~/.clawdbot/.env文件中的API密钥。如果你定期检查Agent访问了哪些文件,你会看到它莫名其妙去读了环境变量——这就是一个巨大的危险信号。
第四步:注意"社交工程"攻击——不要盲目复制粘贴
你敢信CTF大赛级别的安全性,最终被一个"请复制粘贴以下命令"的手法攻破了?
但事实就是这样。ClawHavoc攻击中最有效的方法不是技术突破,而是社会工程学。攻击者在Skill的安装说明里写了一段让用户手动复制粘贴的命令,美其名曰"配置环境依赖"。用户照着做了,恶意代码就开始运行。
⚠️ 警告信号清单
✦ 安装说明要求你手动复制粘贴命令
✦ 命令中包含了Base64编码的字符串
✦ 命令涉及远程下载并执行脚本
✦ 如果不确定,宁可花5分钟搜一下这个命令的作用,也不要闭着眼睛执行
第五步:做好数据备份和应急预案
最后一步,也是最扎实的一步:假设会被攻破,提前准备好退路。
具体做法:
✦ 定期备份API密钥,方便泄露后快速轮换
✦ 为重要账户开启多因素认证(MFA)
✦ 准备"应急响应清单":发现异常后第一步做什么、第二步做什么
✦ 定期轮换API密钥,限制泄露后的影响范围
总结:一个三分钟安全配置清单
如果觉得上面五步太多,我给你一个精简版:
检查事项 | 频率 |
写完这篇文章,我想起一个老朋友跟我说过的话。
他是做物理安全的——就是那种给大楼设计安防系统的。他说他的工作只有一句核心原则:
"没有绝对的安全,只有合适的安全。"
你不可能把Agent关在一个铁盒子里什么也不让它做——那它就失去了存在的意义。但你可以知道自己暴露了什么风险,然后针对性地设置防线。
这篇文章讲的五步,就是你能做的最有效、最实际的防线。别忘了,你的AI Agent一直在帮你干活。它值得你花这几分钟保护一下。
上一篇:《你的AI Agent可能在帮黑客"搬砖"》 本文为系列第二篇,主题为实操防护指南。数据来源同上一篇:腾讯朱雀实验室、安天CERT、OWASP AST10。
夜雨聆风