你一句话装的 AI skill,可能正在偷你的密钥

脉路AI实验室

为你打通 AI 与业务的最后一公里

文 / 脉路AI实验室

问你一句扎心的：你给 agent 装的上一个 skill，源码你读了吗？我猜大概率一行没读，复制个链接、一句话就装上了。我自己也一样。

但很多人没意识到：装 skill 这个动作，比装一个手机 App 危险得多。App 还有应用商店审一道，skill 什么都没有。

装一个 skill，到底交出了什么

先说清 skill 是什么：它就是一个文件夹，核心是一份叫 SKILL.md 的说明书，外加一些脚本和资料。你的 agent 在合适的时候会把这份说明书读进去，照着做事——该调工具调工具，该跑脚本跑脚本。

关键就在这句"跑脚本"。skill 里的脚本，能干的事和你在终端里敲命令一模一样：读你硬盘上的文件、把数据发到外面的服务器、装一个常驻后门、改你的系统配置。它跑的时候，用的是你的身份、你的权限。

所以装一个 skill，等于把这一串钥匙递了出去：

这不是我吓唬你。Anthropic 官方文档自己白纸黑字写着：恶意 skill 能引导 Claude"以不符合它所声明用途的方式去执行代码"，并明确建议——只用你信得过的来源：自己写的，或者官方出的。连出厂的厂商都在提醒你这件事。

这不是假想，是已经在发生

有两份独立的研究，把这事的规模量出来了，数字我都给你标好来源：

▸ NVIDIA：扫了四万多个

NVIDIA 为此专门做了个开源扫描工具（下面会教你用），顺手扫了主流市场上 42447 个 skill：26.1% 含漏洞，5.2% 疑似恶意意图；而且只要 skill 里带可执行脚本，中招概率直接翻到 2.12 倍。

▸ Snyk：近四千个里逮到真恶意

安全公司 Snyk 截至 2026 年 2 月扫了两个市场共 3984 个 skill：36.82% 有安全问题，534 个含严重漏洞，76 个经人工确认是真恶意。更值得记一笔的是：91% 的恶意 skill，都是把"提示注入"和传统恶意软件叠在一起用——既骗过 AI 的安全机制，又骗过传统杀毒，两头通吃。

同一份研究还记录了一次真实事件：2026 年 2 月，有人借一个 skill 市场，一口气投放了 30 多个恶意 skill，专门盯着用 Claude Code 和 OpenClaw 的人，手法就是偷密钥、装后门、往外传数据。

给你算笔账，看看一次中招值多少钱：你电脑里那串云服务的 API key 被捞走，挂到别人的脚本上整夜跑，一晚刷爆几千上万的额度是轻的；要是这把 key 后面连着客户数据、连着你的代码仓库，那就不是账单能算清的损失了。一个十几 KB 的文件夹，能换来一笔你跟客户都说不清的麻烦。

为什么几乎没人发现

因为发布一个 skill 的门槛，低到离谱。以那个出事的市场为例，发布一个 skill 你只需要：一份 SKILL.md 文件，加一个注册满一周的 GitHub 账号。没有代码签名，没有人审核，默认也不关进沙箱。任何人都能上传，伪装成一个"好用的小工具"。

还有个更隐蔽的原因：skill 是"按需加载"的——平时只露出一行简介，等真用到才把完整内容拉进来。这设计本来是为了省 token、提速，但副作用是：你看到的那一行简介，根本不是它真正会执行的东西。坏的部分藏在你压根没点开的脚本里。

说点我自己的。我有个习惯叫"铸咒"——给个 GitHub 链接，一句话就把 skill 装进我的 vault，现在跑着 21 个。写这篇之前我盘了一下：这 21 个里，我逐行读过源码的，一只手数得过来。我天天写 AI、写自动化，尚且如此，更别说顺手一装的多数人了。这不是谁不够小心，是这个生态默认就把"信任"这一步省掉了。

装之前，花两分钟做这件事

不想碰技术的，记住一句话就够：只装自己写的、或官方出的 skill，其余一律先扫再装。下面是给愿意多花两分钟的人的具体做法。

▸ 用 NVIDIA 的扫描工具先扫一遍

就是前面提到的那个，叫 SkillSpector，开源免费，在 NVIDIA 的 GitHub 上。装好后对着要装的 skill 跑一条命令就行：

它能直接吃一个 GitHub 链接、一个压缩包或一个文件夹，跑完给你一个 0 到 100 的风险分，分越高越危险，并直接告诉你该不该装：

▸ 不想装工具，也做三件事

哪怕你嫌装扫描器麻烦，下面这三步纯靠肉眼，也能挡掉绝大多数坑：

再补一条最省事的护栏：把不熟的 skill 放进一个权限受限的环境里跑，别让它直接碰你的主机和真 key。

总结

skill 让 agent 变强，这是好事；但"一键就装、从不查看"是把自己晾在外面。装之前花两分钟：扫一遍，或者过一遍来源、脚本、权限三关。麻烦一点点，换的是你那串 key 和客户数据的安全。