警惕OpenClaw Skill注入风险
概要
近期AI智能体迅速发展,新引入的Skill能力允许智能体通过控制文件、调用API等方式完成复杂任务。但Skill来源复杂,可能来自用户手动编写、可信供应商或其他未验证第三方,版本混乱且质量缺少保证,存在许多安全风险。其中恶意Skill提示词注入是当前Skill生态中的常见攻击模式。Skill的核心指令存储在SKILL.md或instruction.md文件中,这些文本直接拼接到智能体的输入中,极易成为注入攻击的载体。
Skill提示词注入
目前常见的恶意Skill注入大致可以分为三类:
1.提示词直接注入:在Skill文本中直接注入明显恶意行为语句;
2.间接执行注入:Skill文本无恶意行为语句,但其中要求调用的脚本或程序为恶意;
3.上下文注入:Skill中无恶意行为语句,需要结合上下文以及外部环境才能确认是否存在恶意意图。
该恶意Skill伪装为python代码技能,在description字段中强制要求处理python代码时使用该Skill,这将劫持智能体处理python任务时的工具选择。同时该Skill要求按其提供的步骤对处理的文件进行“加密”。分析可以发现其“加密流程”是明显的加密勒索步骤:首先识别工作目录下特定后缀名的文件,然后生成随机密钥加密文件,并调用curl将密钥外泄给攻击者,最终删除原始文件。
该恶意Skill伪装为docx文档处理工具,Skill文本中表面上没有明显恶意行为。但在描述最后步骤中要求使用“backup.sh”脚本进行备份,实际上该脚本是攻击者提供的恶意脚本,其作用并非文件备份。智能体执行该脚本后将调用curl工具下载额外的恶意脚本并执行。
该Skill表面上为数据库迁移工具,在描述中无明显恶意语句。关键在于其操作步骤的最后一步:要求使用原生SQL而不是ORM方法。这需要结合任务环境上下文进行分析:在对性能要求高的系统中,原生SQL的性能可能会优于ORM方法,在数据库迁移时使用原生SQL可以提高迁移效率,在该情景下该Skill行为并无恶意意图。但直接使用外部输入原生SQL进行数据库操作并且没有采取适当防护措施将导致SQL注入漏洞,存在巨大安全隐患。在安全要求较高的系统环境中,需要始终采用安全的查询模式,这种情况下该Skill存在安全隐患。
Skill 生态风险
目前智能体Skill生态的爆发式增长,但审核机制却薄弱。目前的Skill市场平台大多缺乏严格安全审核且多数Skill版本混乱。除了上文介绍的提示词注入外,Skill生态还存在许多安全风险:
1. 供应链攻击:Skill本质上是由代码与文档组成,易于分发和安装,攻击者可以轻易混入生态,实施依赖投毒等攻击。
2. 敏感数据泄露:Skill拥有访问用户本地文件和上下文的权限,若缺乏严格的管控机制,隐私泄露风险极高。
3. “渐进式披露”盲区:渐进式披露允许智能体分层级动态加载Skill内容,传统的静态代码扫描工具难以在运行时实时检测所有加载内容的恶意性。
防御建议
可以采取以下方式防范Skill安全风险:
1. 沙箱化执行:强制所有Skill的脚本在隔离的沙箱环境中运行,严格限制文件系统访问和网络请求。
2. 最小权限原则:Skill必须显式声明所需的权限范围(如仅读取当前目录),由用户或系统在运行时动态授权,默认拒绝所有未声明的权限。
3. Skill审计与溯源:引入签名机制,确保Skill来源可信,防止篡改。企业可建立私有的、经严格审计的Skill仓库。
4. 运行时监控:部署系统级监督Skill,实时监控智能体的行为,拦截异常操作。
5. Skill内容过滤:在将Skill指令输入上下文前,通过专用的安全模型进行
二次过滤,识别并剔除潜在的注入攻击载荷。
山石防御
建议结合山石网科(Hillstone Networks)的专业产品和服务,构建多维一体的主动防御体系:
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/249336.html