Agent Skills 淘金热出现恶意软件问题

Source: Dev.to

请提供您希望翻译的正文内容，我将把它翻译成简体中文并保留原有的格式、Markdown 语法以及技术术语。谢谢！

Rapid Growth of the Agent Skills Marketplace

三周前，ClawHub 的注册表中大约有 2,800 个技能。今天已超过 10,700。在同一时间段内，安全研究人员发现了超过 800 个恶意包——约占整个注册表的 20 %——主要用于投放 Atomic macOS Stealer。一位用户上传了 354 个恶意包，似乎是一次自动化的突袭。

当时没有静态分析、代码审查，也没有签名要求——只有一扇敞开的门和一块欢迎垫。

技能市场不再局限于 ClawHub。整个生态已碎片化为十余个竞争的注册表，每个都有在规模与安全之间的权衡：

• SkillsMP – 96,000+ 个技能，兼容 Claude Code，但 零安全审计。
• MCP.so – 17,000+ 个 MCP 服务器，具通用兼容性。
• SkillHub – 7,000+ 个技能，采用基于 AI 的质量评分（评分 不 检查安全性）。
• Vercel – 新入场者，提供 Skills.sh，一个以 Shell 为基础的生态系统，宣传为 “npm for AI agents”。

贯穿所有这些的连接组织是 SKILL.md 开放标准，自 Anthropic 于 2025 年 12 月发布以来，已被 Claude Code、Codex CLI 和 Gemini CLI 采用。技能现在可以跨平台迁移——这对分发很有利，却对遏制极其不利。

最近的安全通报

• Conscia 通过 Censys 和 Bitsight 发现了超过 30,000 个面向互联网的 OpenClaw 实例，其中许多未启用身份验证。
• Bitdefender 的遥测确认在企业终端上出现 OpenClaw，称其为 “Shadow AI”，这是一场企业安全噩梦，没人为此做好准备。
• Microsoft 发布了官方指南，安全运行 OpenClaw，涵盖身份、隔离和运行时风险。当 Microsoft 为你的开源项目编写安全指南时，这既是采用信号，也是对广泛滥用的警示。
• Kaspersky 记录了针对 ClawHub 技能的 AMOS 信息窃取者活动。
• SecurityWeek 报道了 CVE‑2026‑25253，这是一种 CVSS 8.8 的一键远程代码执行漏洞，已在一月修补，但仍有许多实例未打补丁。
• The Register 发现某大型注册表的 7 % 技能通过 LLM 上下文窗口泄露了 API 密钥。

与 npm 供应链危机的相似之处

agent‑skills 生态系统正以 10× 速度 重演 npm 供应链危机：

• 开放的注册表，准入门槛低。
• 自动化的大规模发布。
• 通过看似合法的包名进行拼写欺骗（typosquatting）和隐藏恶意负载。

关键区别在于攻击面：恶意 npm 包会破坏你的构建流水线，而恶意 agent 技能则会危及你的 agent，它可能拥有文件、API、凭证，甚至日益涉及你整个数字生活的访问权限。

当前缓解措施（可预测且不足）

• VirusTotal 与 ClawHub 合作进行自动恶意软件扫描——必要但被动。
• SecureClaw 作为开源审计工具发布——有用但需自行选择使用。
• Snyk 发现 36 % 的扫描技能包含 prompt injection，表明问题已超出传统恶意软件，进入了通过操纵代理行为而不部署有效载荷的技能灰色地带。

操作员建议

如果您正在运行 OpenClaw 或任何带有第三方技能的代理框架：

1. 审计已安装的技能

   openclaw security audit --deep

   如果该命令不可用，请手动检查技能权限。声明可写路径、网络访问或凭证请求的技能需要额外审查。

2. 固定版本并验证来源

   • 禁用自动更新。
   • 将每次更新视为生产依赖升级：审查差异、检查维护者历史并验证仓库。

3. 负责任地跨列表发布

   • 在多个注册表（例如 SkillsMP）上列出可以提升可见度，但发布时要考虑安全：尽可能仅限本地主机、最小权限，并清晰说明技能访问的内容及原因。

淘金热是真实存在的，矿权正在被认领。然而 20 % 的领土已经被开采，仍有许多探矿者在 赤脚 作业。

最初发表于 The Undercurrent