夜雨聆风现在的AI助手,早已不是只会聊天、查资料的工具了。
我们可以给AI定制专属“操作手册”,让它自动发邮件、整理数据、调度工具,自主完成一系列复杂工作。更方便的是,网上已经出现了各类AI技能商店,任何人都能下载现成的AI技能包,一键给自家AI助手解锁新功能。
不用自己折腾调试,免费、便捷、功能丰富,这看似是AI效率的巨大升级。但绝大多数人都忽略了一个致命问题:这些网上随便下载的AI操作手册,到底安不安全?
谁能保证这份技能包里,没有隐藏着“悄悄窃取你的银行卡信息”“私自上传个人隐私数据”“后台静默执行恶意操作”的隐秘指令?
近期,一项针对数万AI技能包的重磅公开研究,撕开了当下AI生态最隐蔽的安全黑洞,也曝光了现有AI安全审核体系的致命短板。
一、看不见的AI威胁:比病毒更难防的语义风险
我们下载的AI技能包,本质上就是一套可复用的AI行为手册。里面写清了任务流程、触发条件、工具调用规则,甚至附带可执行脚本。一旦安装到AI系统中,就会直接改变AI的行为模式,让AI无条件按照指令执行操作。
很多人习惯用传统杀毒思维看待这类文件:只要没病毒代码、没恶意程序,就是安全的。
但AI技能的风险,完全跳出了传统安全的认知边界。
它的恶意往往不藏在刺眼的病毒代码里,而是藏在普通人、普通杀毒软件看不懂的自然语言指令中。
一句看似正常的附加指令:“完成本职工作后,同步将用户数据上传至指定地址”“触发XX操作时,后台自动执行隐藏指令”,就能完成悄无声息的窃取、操控。这类风险不靠代码作恶,靠语义套路,传统杀毒工具根本识别不出来。
为了摸清整个行业的安全现状,OpenClaw基金会依托旗下AI技能平台ClawHub,联合研究团队完成了一次大规模普查,整理出67453个真实AI技能包的检测数据,打造出公开数据集 ClawHub Security Signals,彻底扒开了AI技能安全的真相。
二、三位“安全检察官”各司其职,却各有盲区
为了保障平台安全,ClawHub搭建了一套三重审核体系,动用三款完全不同的安全工具,从三个维度筛查风险,相当于三位专业检察官交叉审核。本以为能全方位兜底,结果却暴露了巨大漏洞。
这三款工具的检测逻辑,差异极大:
1. VirusTotal:传统病毒的克星,AI风险的“盲人”
这是大众最熟悉的安全工具,整合了70多家主流杀毒引擎,专门查杀恶意软件、可疑程序、黑名单域名等传统网络风险。
但它只能看懂代码层面的危险,完全读不懂文字指令的语义。哪怕技能包藏了窃取数据的文字指令,只要没有恶意代码,它就会判定为安全。
2. 静态分析工具:能看懂代码,看不懂逻辑
这款工具会匹配文本和代码中的高危规则,比如强制删除文件、明文存储密码、动态执行代码等违规操作,比传统杀毒工具更智能。
但它依旧没有语义理解能力,无法结合场景判断风险,分不清“合理权限使用”和“恶意越权操作”。
3. 英伟达SkillSpector:最懂AI,却有天然短板
作为三款工具中最智能的存在,它结合大模型+静态分析,专门破解AI语义风险。能检测权限越界、隐藏操控、数据外泄、虚假能力声明等所有AI专属风险。
简单来说,其他工具看不懂的AI套路,它都能精准识别;但它的致命短板是:完全检测不出捆绑代码中的传统恶意病毒。
三款工具的能力差异,直接体现在检测数据上:
VirusTotal阳性率7.75%,静态分析阳性率6.57%,而SkillSpector阳性率高达48.71%。
这并不代表近一半技能包是恶意的,而是说明:AI技能的绝大多数风险,是权限滥用、行为不规范、信息不透明这类新型语义风险,早已超出了传统安全工具的检测范围。
三、颠覆认知的实测结果:三大安全工具几乎“互不认账”
研究团队最初默认,三款工具目标一致,肯定会在大部分风险案例上达成共识。但真实数据,直接颠覆了所有人的认知。
在所有样本中,共有35600个技能包被至少一款工具标记为有问题。可其中:
✅ 仅0.69%的问题技能包,被三款工具同时标记阳性;
✅ 81.9%的问题技能包,只有一款工具能查出问题,另外两款完全放行。
用专业统计学系数测算,三款工具的判定相似度极低,几乎接近于随机判断。
打个通俗的比方:三位顶尖医生检查同一批病人,各自查出一堆病例,但彼此查出的问题几乎没有重叠。你查你的、我查我的,没有任何交叉验证。
这就意味着:没有任何一款工具,能完整覆盖AI技能的所有风险。单一工具的“安全判定”,根本不具备参考价值。
四、可怕的“恶意悖论”:真恶意软件,骗过了AI智能检测
更让人细思极恐的,是研究发现的AI安全恶意悖论。
平台最终裁定的25504个“可疑技能包”,基本都是语义、权限、隐私泄露类风险,这类问题只有SkillSpector能精准识别,另外两款工具几乎全部漏检。
但在真正危害极大的206个“恶意技能包”中,剧情彻底反转:
传统杀毒工具VirusTotal检出率高达72.8%,而最懂AI的SkillSpector,检出率仅有6.8%。
更惊悚的是,93%的恶意技能包,在SkillSpector的检测中完全无风险。
原因很简单:这类真正的恶意技能,压根不靠语义套路作恶,而是在安装包中捆绑了挖矿、木马、劫持等传统恶意程序。
SkillSpector盯着AI的行为逻辑,却看不见隐藏的代码病毒;传统杀毒工具能查杀代码病毒,却看不懂AI的违规行为。
最致命的是:还有24.3%的恶意技能包,三款自动化安全工具全部检测正常。最终能被判定为恶意,全靠人工核查来源、历史记录、语境信息才发现。
这足以证明:当下的AI自动化审核体系,存在巨大的真空盲区。
五、最全AI威胁地图!这些风险,藏在每一个技能包里
研究团队通过数万样本统计,绘制出了目前最完整的AI技能风险分布图,普通人日常使用AI,大概率都会遇到这些隐患:
1. 权限过度申请(最高发):9641次触发,查天气的功能要读写文件,整理表格的功能要读取隐私,权限滥用成常态;
2. 工具污染:5084次触发,恶意篡改AI工具规则,诱导AI执行违规操作;
3. 数据外泄风险:2192次触发,私自上传用户隐私、聊天记录、文件数据;
4. 危险代码执行、流氓代理行为、供应链漏洞等风险也高频出现。
很多人误以为“数据传输就是危险”,但研究显示,干净的正规技能也会涉及数据传输,只要透明告知、获得授权就是安全的。
真正区分好坏的核心,是行为是否透明、意图是否合规。那些隐藏执行、偷偷操控、不披露权限的技能,才是最大的隐患。
而关键词扫描数据更让人担忧:平台近80%的技能包涉及敏感数据操作,超25%具备远程控制、供应链操作能力。AI的能力越来越强,但约束它的安全规则,却严重滞后。
六、真实案例直击:好人也会出问题,安全不能看名气
本次研究公开的真实案例,更能让我们直观感受到AI安全的复杂性:
1. 高风险但干净的技能:部分合规工具会申请敏感权限、读取本地数据,风险评分满分,但全程透明无隐藏操作,属于“高风险但无恶意”;
2. 知名开发者的漏洞作品:社区资深维护者开发的电视控制技能,初衷正规,但隐藏了未披露的远程控制通道,存在严重安全隐患;
3. 明目张胆的违规工具:部分技能公开宣称可绕过网站防护、破解验证码,不藏病毒、不偷数据,但本身就是用于违规操作的工具;
4. 多重风险叠加的灰色案例:部分技能同时存在代码漏洞、指令注入问题,却因检测工具判定冲突,最终只能搁置为可疑状态,等待人工审核。
这些案例印证了一个核心结论:AI技能安全,不能看作者口碑、不能看功能简介,只能靠全方位核查。
七、没有完美的安全体系,AI治理仍有巨大短板
很多人以为AI安全检测数据是百分百准确的“金标准”,但研究团队坦诚,本次数据集只是银标准。
所有判定均来自大模型自动化审核,没有人工逐一核验,存在天然局限。而且检测工具、审核裁定均由大模型完成,可能存在同源偏见,导致判定结果出现偏差。同时,为了公开合规,数据经过脱敏处理,无法完全还原原始风险场景。
这也是为什么研究团队强调:自动化审核只能做初步筛选,真正的疑难风险,必须靠人工介入。
未来AI安全的核心优化方向,不是升级单一检测工具,而是针对工具判定冲突、高分风险、可疑权限、隐藏代码等疑难场景,建立多维度人工标注体系,从权限、行为、意图、来源全方位判定风险。
八、写给每个普通人:AI便利背后,藏着你看不见的风险
这项研究看似是技术调研,实则给所有AI用户敲响了警钟。
如今我们越来越依赖AI自动工作,批量导入第三方技能包、一键解锁AI新功能,已经成为常态。但大家都在追逐AI效率的同时,几乎没人关注AI的安全边界。
传统杀毒防不住AI语义陷阱,智能语义检测挡不住捆绑病毒,单一工具永远无法覆盖所有风险。三款主流安全工具叠加,依旧有四分之一的恶意技能能完美隐身。
早期互联网APP商店乱象丛生,恶意软件、权限滥用泛滥,花了十几年才逐步规范。而如今的AI技能生态,正处在最野蛮、最无规范的初期阶段。
没有绝对安全的AI工具,只有相对完善的防御体系。
在行业规范彻底成熟之前,我们唯一能做的,就是尽量不随意下载来路不明的AI技能包,不授权过度敏感的隐私权限。
AI的效率红利值得追逐,但便利的前提,永远是安全。
