OWASPAgenticSkillsTop10：AI智能体技能十大安全风险

大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。

文章总结： OWASPAgenticSkillsTop10（AST10）揭示了AI智能体技能层的十大关键安全风险，包括恶意技能、供应链泄露、权限过大等。报告指出技能层已成为生态中最脆弱环节，并提供了具体缓解措施如代码签名、容器隔离、权限最小化。文档引用真实攻击数据（如ClawHavoc行动涉及1184个恶意技能），强调需结合技术防护与企业治理体系应对已发生的安全危机。 综合评分： 100 文章分类： 漏洞分析,安全建设,威胁情报,安全意识,解决方案

cover_image

原创

林00 林00

SecureNexusLab

2026年4月7日 09:15 日本

在小说阅读器读本章

去阅读

OWASP Agentic Skills Top 10（AST10）记录了所有主流 AI 智能体平台中，agentic 技能的 10 个最关键安全风险。

技能是赋予智能体现实影响力的「执行层」。它不仅定义资源访问权限，更定义如何「自主编排多步骤工作流」。

目前，大量注意力集中在保护大型语言模型（LLM）和模型上下文协议（MCP）工具层上。然而，agentic 技能所代表的「中间行为层」，已成为整个 AI 智能体生态系统中尤为脆弱且保护不足的组件。

「这正是 AST10 要填补的空白。」

❝

「心智模型」：MCP = 模型如何与工具对话；AST10 = 这些工具实际执行什么操作。

❞

「严重性」：严重
「影响平台」：全平台
「核心缓解」：Merkle 根签名、注册表扫描、发布者可信验证
「真实世界证据」：ClawHavoc 行动（1,184 个恶意技能）、ToxicSkills 审计（76 个恶意负载）

「风险概述」 攻击者在技能包中植入恶意代码或自然语言指令。技能进入公共注册表后，用户安装并授权执行，智能体被诱导执行窃取 SSH 密钥、外发敏感数据、写入持久化后门等行为。

「典型攻击场景」

在 SKILL.md 中写入指令，要求智能体读取 ~/.ssh 与 .env 并通过 Webhook 外发。
伪装成 “google-search”“github-backup” 等热门技能，通过仿冒域名诱骗安装。

「技术缓解要点」

仅安装来自已验证发布者并带有代码签名的技能。
注册表实施 Merkle 根签名与静态扫描。
安装前对权限声明做逐项核验与白名单化。
运行时采用行为监控器检测异常文件访问与网络外发。

「严重性」：严重
「影响平台」：全平台
「核心缓解」：注册表透明日志、依赖溯源、不可变锁定
「真实世界证据」：ClawHub 注册表遭污染、Claude Code CVE-2025-59536 配置注入漏洞

「风险概述」 技能依赖的第三方库、基础镜像或上游组件被投毒，使技能在不篡改自身代码的情况下被间接控制。由于技能本身代码签名可能仍然有效，检测难度极高。

「典型攻击场景」

技能依赖的 npm 包被攻击者发布恶意新版本，技能自动更新后引入恶意代码。
Claude Code 配置文件 .claude/settings.json 在项目打开时静默执行任意命令，属于供应链级配置注入。

「技术缓解要点」

记录技能与依赖的版本哈希，建立可溯源的透明日志。
依赖版本锁定到具体哈希（不可变），禁用自动更新。
发布技能时必须附带完整 SBOM（软件物料清单）。
对依赖项开展静态分析 + 运行时行为监控双重检测。

「严重性」：高
「影响平台」：全平台
「核心缓解」：最小权限原则、权限模式验证、运行时降权
「真实世界证据」：2026 年 2 月 Snyk 披露 280+ 存在凭证泄露问题的技能

「风险概述」 技能声明的权限远超其功能需求。例如仅需读取文件却申请全局写入与网络出口权限，导致提示注入等攻击可滥用权限造成大范围泄露。

「典型攻击场景」

大量技能声明 network: true，允许任意网络访问，导致 API 密钥与个人数据外发。
仅需写入本地文件的技能，被提示注入篡改写入 MEMORY.md，植入持久化后门。

「技术缓解要点」

强制最小权限，将 network: true 替换为域名白名单。
对权限清单进行语法与语义验证，拒绝超额权限组合。
运行时动态降权，限制技能仅能访问声明路径内的资源。

「严重性」：高
「影响平台」：全平台
「核心缓解」：元数据静态 lint、非法字符拦截、去中心化身份绑定
「真实世界证据」：ClawHub 上出现冒充 “Google” 的虚假官方技能

「风险概述」 元数据（描述、作者、标签、依赖）包含欺骗性或恶意内容，可诱导用户批准危险权限，或嵌入控制字符导致解析器误判，甚至触发提示注入攻击。

「典型攻击场景」

描述中写入 “需读取 ~/.aws/credentials 才能正常工作”，诱导用户授权高危权限。
在 changelog 或 description 字段插入隐藏控制字符，使扫描器与 LLM 产生误解析。

「技术缓解要点」

对元数据开展严格静态分析，检测异常字符与结构。
禁止元数据中包含可执行指令或特殊控制字符。
注册表强制元数据标准化，并绑定作者去中心化身份。

「严重性」：高
「影响平台」：全平台
「核心缓解」：安全解析器、输入验证、沙箱加载
「真实世界证据」：通过 SKILL.md 中的恶意 YAML 标签投递载荷；OpenClaw 日志投毒漏洞

「风险概述」 技能在解析 YAML/JSON 配置文件时使用不安全解析器，允许加载任意对象或执行任意代码。攻击者可在配置中植入危险标签触发远程代码执行。

「典型攻击场景」

利用 YAML 标签 !!python/object/execute 在解析时执行系统命令。
向日志文件投毒恶意 YAML，智能体读取日志进行故障排查时触发反序列化漏洞。

「技术缓解要点」

启用禁用所有危险标签的安全解析器。
反序列化前对输入做严格模式验证。
在沙箱环境中执行解析操作，限制主机访问。

「严重性」：高
「影响平台」：全平台
「核心缓解」：容器隔离、Docker 沙箱、系统调用过滤
「真实世界证据」：ClawJacked（CVE-2026-28363，CVSS 9.9）；135,000+ 实例公网暴露

「风险概述」 智能体技能与主机系统缺乏强隔离，恶意技能可直接访问主机文件系统、进程、网络，并持久化驻留，构成全局性威胁。

「典型攻击场景」

ClawJacked：恶意网站通过 WebSocket 暴力激活成功教程本地 OpenClaw 实例，直接接管主机智能体。
微软 Defender 明确指出：“OpenClaw 应被视为具有持久凭证的不可信代码执行，不适合在标准个人或企业工作站上运行。”

「技术缓解要点」

默认使用容器或 Docker 隔离技能，主机模式需显式 opt-in。
实施进程资源限制（CPU、内存、文件描述符）。
使用 seccomp / AppArmor 限制系统调用，最小化主机权限暴露。

「严重性」：中
「影响平台」：全平台
「核心缓解」：不可变锁定、哈希验证、人工审批升级
「真实世界证据」：恶意更新通过版本范围自动拉取；ClawJacked 利用版本滞后

「风险概述」 技能或依赖在未经安全审查的情况下自动更新，新版本可能引入恶意代码或破坏性变更，使“曾安全”的安装在后续被污染。

「典型攻击场景」

合法发布者账号被入侵，攻击者发布恶意更新，使用自动更新或版本范围（如 ^1.0.0）的用户自动拉入恶意代码。
依赖库被投毒，技能重建或重启时自动拉取恶意依赖。

「技术缓解要点」

锁定技能及依赖到不可变哈希，禁止自动更新。
版本升级必须经过人工安全审批。
注册表保证已发布版本不可篡改、不可删除。

「严重性」：中
「影响平台」：全平台
「核心缓解」：语义分析 + 行为监控多工具管道
「真实世界证据」：Snyk 2026 年 2 月 11 日报告：自然语言注入可轻松绕过正则匹配扫描器

「风险概述」 传统扫描器仅依赖正则与特征签名，无法识别基于自然语言指令的操纵攻击。攻击者用正常指令编码恶意行为，可完全绕过检测。

「典型攻击场景」

在 SKILL.md 中用自然语言指令要求智能体读取 SSH 目录并外发，不包含传统恶意代码，扫描器无感知。
使用 Base64 编码或拆分字符串绕过正则关键词检测。

「技术缓解要点」

构建语义分析 + 行为模拟的多工具扫描管道。
在沙箱中动态执行技能，观测文件、网络、进程行为。
建立正常行为基线，检测异常偏离。

「严重性」：中
「影响平台」：全平台
「核心缓解」：技能清单、审批流程、结构化审计日志、身份控制
「真实世界证据」：53,000+ 暴露实例无 SOC 可视性；Bitdefender 遥测发现员工在企业设备无监管部署

「风险概述」 企业缺乏技能治理策略：无清单、无审批、无日志。攻击者可任意安装技能，安全团队完全无法检测运行行为与潜在泄露。

「典型攻击场景」

员工安装“实用技能”导致 SSH 密钥、AWS 凭证泄露，审计缺失导致数月后才被发现。
影子 IT 多版本部署，形成安全盲点。

「技术缓解要点」

建立集中式技能清单，全量记录来源、版本、权限。
安装流程至少双人审批。
启用结构化审计日志，记录文件访问、网络调用、命令执行。
绑定技能身份，使用最小权限服务账户。

「严重性」：中
「影响平台」：全平台
「核心缓解」：通用 YAML 格式、统一审计
「真实世界证据」：恶意技能在 ClawHub 与 skills.sh 之间跨平台移植；权限语义差异被利用

「风险概述」 同一技能在多平台以不同格式复用，导致安全策略不一致、漏洞修复不同步、权限语义差异。攻击者可利用平台解析差异绕过安全控制。

「典型攻击场景」

技能在 OpenClaw 上被扫描为安全，移植到 Claude Code 后利用特有 hooks 执行恶意命令。
不同平台对 network: true 语义解释不同，利用宽松权限外发数据。

「技术缓解要点」

采用通用 YAML 技能格式作为全平台标准。
各平台实现统一格式转换器与验证器。
跨平台技能必须通过统一审计，并在所有平台同步结果。

智能体 AI 技能是可复用、具名的行为模块，封装完整工作流，包括：

任务理解与目标拆解
多步骤规划与工具编排
文件系统、网络和 Shell 访问
安全护栏与输出格式化
持久化内存和跨会话状态

与 MCP 工具（定义哪些资源和动作可用）不同，技能定义「如何按顺序使用这些工具」来完成用户目标。这一行为抽象层带来了独特的安全挑战，无法仅靠保护模型层或协议层来解决。

「“致命三重奏”」（Simon Willison / Palo Alto Networks，2026）：

一个 AI 智能体技能在「同时满足以下三个条件」时极度危险：

「访问私有数据」：SSH 密钥、API 凭证、钱包文件、浏览器数据
「暴露于不受信任内容」：技能指令、内存文件、电子邮件
「能够与外部通信」：网络出口、Webhook 调用、curl

当前大多数生产环境中的智能体部署，满足全部三个条件。

这不是理论上的未来风险。截至 2026 年第一季度，AI 智能体技能生态系统正遭受「真实攻击」。

| 指标 | 数值 | 来源 | | — | — | — | | 扫描技能总数 | 3,984 | Snyk ToxicSkills（2026 年 2 月） | | 存在安全缺陷的技能 | 1,467（36.82%） | Snyk ToxicSkills（2026 年 2 月） | | 存在严重问题的技能 | 534（13.4%） | Snyk ToxicSkills（2026 年 2 月） | | 已确认恶意负载 | 76+ | Snyk ToxicSkills（2026 年 2 月） | | ClawHavoc 行动：恶意技能 | 1,184 | Antiy CERT（2026 年 2 月） | | 公网暴露的 OpenClaw 实例 | 135,000+ | SecurityScorecard（2026 年 2 月） | | 已披露 CVE（仅 OpenClaw） | 9（其中 3 个有公开利用） | Endor Labs（2026 年 2 月） | | 所有注册表分析的技能总数 | 30,000+ | National CIO Review / Cisco（2026） | | 包含至少一个漏洞的技能占比 | >25% | National CIO Review（2026） |

ClawHub 注册表——OpenClaw 技能的主要市场——成为第一个遭受「系统性大规模投毒」的 AI 智能体注册表。在感染高峰期，下载量排名前七的技能中有五个被确认为恶意软件。该注册表现已实施自动扫描并与 VirusTotal 合作，但更广泛的生态系统仍然基本上未受保护。

Check Point Research 披露了 Claude Code 中的两个关键漏洞（CVE-2025-59536，CVSS 8.7；CVE-2026-21852，CVSS 5.3），证明仓库级别的配置文件现在已成为执行层的一部分——仅仅克隆并打开一个不受信任的项目，就可以在任何用户同意对话框出现之前触发远程代码执行和 API 密钥泄露。

在本项目之前，不存在针对智能体技能的全面安全框架或专门指导。这正是 AST10 要填补的空白。

使用以下清单评估智能体技能安全状况。

仅从「已验证发布者」处安装技能，且必须有代码签名
对所有技能安装启用「自动扫描」
安装前「审查技能权限」
「锁定技能版本」，防止自动更新拉入恶意代码

在「隔离环境」中运行智能体（容器/沙箱）
为智能体进程实施「网络限制」
监控智能体的「文件系统和网络活动」
定期「审计」已安装技能及其依赖项

维护所有已部署智能体技能的「清单」
为技能安装实施「审批流程」
启用对智能体操作的「全面审计日志」
建立技能泄露事件的「响应程序」

用「加密密钥」对所有发布技能进行签名
包含「全面的权限清单」
在隔离环境中「测试」技能后再发布
在技能元数据中「记录安全注意事项」

云安全联盟（CSA）MAESTRO 框架为 agentic AI 系统提供跨 7 个互联层的结构化威胁建模方法。以下映射将每个 AST10 风险与相关 MAESTRO 层对齐。

| AST# | 风险 | MAESTRO 层 | | — | — | — | | AST01 | 恶意技能 | 7, 3, 6, 4, 5 | | AST02 | 供应链泄露 | 7, 3, 6, 4 | | AST03 | 权限过大技能 | 6, 4, 3, 7 | | AST04 | 不安全元数据 | 7, 3, 6 | | AST05 | 不安全反序列化 | 3, 4, 6 | | AST06 | 隔离薄弱 | 4, 6, 3 | | AST07 | 更新漂移 | 4, 6, 7 | | AST08 | 扫描能力差 | 5, 6, 3 | | AST09 | 无治理 | 6, 7, 5 | | AST10 | 跨平台复用 | 7, 3, 6 |

以下 YAML 格式被设计为「跨平台标准」，是当前各平台特定格式的超集，能缓解 AST10 并提供解决 AST01–AST09 所需的元数据基础。

ounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineounter(line# Universal Agentic Skill Format v1.0# Compatible with: OpenClaw, Claude Code, Cursor/Codex, VS Codename: example-skillversion: 1.0.0platforms: [openclaw, claude, cursor, vscode]description: "Safe example skill — concise, honest statement of author: name: "Author Name" identity: "did:web:example.com" # Decentralized ident signing_key: "ed25519:pubkey_hex_here"permissions: files: read: - ~/.config/app.json # Explicit paths only write: - ~/.config/app.json deny_write: - SOUL.md - MEMORY.md - AGENTS.md # Identity files req network: allow: - api.example.com # Domain allowlist,  deny: "*" # Default deny all o shell: false # Explicit shell acc tools: - web_fetch - read_filerequires: binaries: [jq, curl] min_runtime_version: "2026.1.0"risk_tier: L1 # L0=safe, L1=low, Lscan_status: scanner: "[email protected]" last_scanned: "2026-02-15" result: "pass"signature: "ed25519:ABCDEF..." # Signs the canonicacontent_hash: "sha256:abcdef1234..." # Hash of the complechangelog: - version: "1.0.0" date: "2026-02-01" notes: "Initial release"

「格式设计原理」：

permissions.deny_write：默认保护身份文件（SOUL.md、MEMORY.md），必须显式覆盖才能写入
network.allow：「域名白名单」而非布尔值——堵住“network: true”权限过大的缺口（AST03）
signature + content_hash：支持 Merkle 根注册表验证（AST01/AST02）
scan_status：机器可读的溯源轨迹（AST08/AST09）
risk_tier：支持自动化治理策略，无需逐个技能审查（AST09/AST10）

以下为已确认的真实安全事件的完整时间线，来源于公开披露的研究和 CVE 记录。

「1 月 27-29 日：ClawHavoc 行动启动」 攻击者注册为 ClawHub 开发者，在 3 天时间内向注册表投放了 341 个恶意技能。所有 335 个投递 AMOS 恶意软件的技能共享同一个 C2 IP（91.92.242[1.]130）。目标数据包括交易所 API 密钥、钱包私钥、SSH 凭证、浏览器密码和 .env 文件。这些技能还将恶意指令直接写入 MEMORY.md 和 SOUL.md，以实现会话持久化的后门。
「1 月 31 日：ClawHavoc 攻击达到高峰」 Koi Security 命名了该行动并开始协调移除工作。一些恶意软件包持续存活了数周。

「2 月 1 日」：Koi Security 发布首份公开的 ClawHavoc 分析报告。
「2 月 3 日」：Snyk 发布“从 SKILL.md 到 Shell 访问仅需三行 Markdown”威胁模型，记录了 SKILL.md 文件中的三行 Markdown 如何指示智能体读取 SSH 密钥并将其泄露。
「2 月 4 日」：Alice 发布调查结果，指出多个已发布的 OpenClaw 技能在被超过 6,000 名用户使用时被发现具有活跃恶意行为——通过行为分析检测到。
「2 月 5 日」：Snyk 发布 「ToxicSkills」——首次对 AI 智能体技能生态系统进行的全面安全审计。主要发现：36% 的技能包含安全缺陷；13.4% 包含严重级别问题；76 个已确认的活跃恶意负载；发布时仍有 8 个恶意技能存活。
「2 月 5 日」：Snyk 发布“280+ 泄露技能：OpenClaw 和 ClawHub 如何暴露 API 密钥和 PII”——另一项并行发现，展示了因权限过大技能导致的凭证大规模泄露。
「2 月 10 日」：Snyk 记录“ClawHub 上的恶意 Google 技能如何诱使用户安装恶意软件”——域名仿冒和虚假品牌冒充被确认为活跃策略。
「2 月 11 日」：Snyk 发布“为什么你的技能扫描器只是虚假的安全感（并可能是恶意软件）”——证明模式匹配扫描器错过了大多数关键威胁，因为这些威胁依赖于自然语言指令操纵而非代码签名。
「2 月 14 日」：OpenClaw 修补日志投毒漏洞（版本 2026.2.13）。攻击者可通过 WebSocket 请求将恶意内容写入智能体日志文件；由于智能体会读取自己的日志进行故障排除，注入的文本可能影响其决策并触发间接提示注入。
「2 月 25 日」：Check Point Research 公开披露 Claude Code 中的 CVE-2025-59536（CVSS 8.7）和 CVE-2026-21852（CVSS 5.3）。这两个漏洞在数月前已被修补，但披露确认：仓库控制的配置文件可以在项目打开时静默执行任意 shell 命令并泄露 API 密钥，且在任何信任对话框出现之前。
「2 月 26 日」：Oasis Security 披露 「ClawJacked」（CVE-2026-28363，CVSS 9.9）。恶意网站可以在没有速率限制的情况下暴力激活成功教程 localhost WebSocket 连接，以静默劫持本地 OpenClaw 实例，在无需用户提示的情况下注册新设备，并通过现有的智能体集成泄露数据。OpenClaw 在 24 小时内完成修补（版本 2026.2.25）。
「2 月（月底）」：Antiy CERT 发布 ClawHavoc 行动分析报告，将恶意软件归类为 Trojan/OpenClaw.PolySkill。最终统计：12 个发布者账户下的 1,184 个恶意技能。Hudson Rock 分别识别出针对 OpenClaw 智能体身份文件（openclaw.json、device.json、soul.md、memory.md）的 Vidar 信息窃取器变种。
「2 月（月底）」：微软 Defender 安全研究团队发布公告：“由于这些特性，OpenClaw 应被视为具有持久凭证的不可信代码执行。它不适合在标准个人或企业工作站上运行。”
「2 月（月底）」：BlueRock Security 分析了 7,000 多个 MCP 服务器，发现 36.7% 可能容易受到 SSRF 攻击。针对微软 MarkItDown MCP 服务器的概念验证攻击成功从 EC2 元数据端点获取了 AWS IAM 密钥。

「SecurityScorecard 确认」：超过 135,000 个 OpenClaw 实例因不安全的默认配置暴露在公共互联网上，其中 53,000 多个与先前的入侵活动相关。
「Bitdefender 遥测」：确认员工在毫无 SOC 可见性的情况下在企业设备上部署 OpenClaw。
「Snyk 和 Tessl 宣布」：注册表级别的技能安全扫描合作伙伴关系。Snyk 和 Vercel 此前已合作在安装时对 skills.sh 上的技能进行扫描。
「NIST / CAISI」：《联邦公报》关于 AI 智能体安全的信息征询函（1 月 8 日发布，3 月 9 日结束评论）——这是美国政府的首次正式征求，专门针对 AI 智能体安全风险。

「状态」：新项目提案，活跃开发中
「版本」：1.0（2026 版）
「许可证」：Creative Commons Attribution-ShareAlike 4.0（CC BY-SA 4.0）

| 季度 | 阶段 | 可交付成果 | | — | — | — | | Q2 2026 | 基础 | GitHub 仓库启动，OWASP 项目页面，AST01–AST06 完整文档，事件数据库 | | Q3 2026 | 完成 | AST07–AST10 完整文档，通用技能格式 v1.0 规范，速查表，v1.0 候选版 | | Q4 2026 | 发布 | v1.0 正式发布，提交 OWASP 旗舰项目，RSA 2026 / OWASP Global AppSec 演讲 |

「文章来源」：本文基于 OWASP Foundation 官方项目《OWASP Agentic Skills Top 10》

❝

评论「获取」分享资源链接

❞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecureNexusLab 林00

 林00《OWASP Agentic Skills Top 10：AI 智能体技能十大安全风险》

OWASPAgenticSkillsTop10：AI智能体技能十大安全风险

相关推荐