装了个 AI Skill，SSH 私钥可能先出门

最近，AI Agent 越来越像一个能干活的同事。

你给它一个任务，它能查资料、写代码、调接口、生成文档，甚至还能串起一堆工具自己跑流程。

而 Skill，就是让 Agent 变得更能干的一种方式。

今天装一个“代码审查 Skill”、 明天装一个“自动运维 Skill”、 后天再装一个“浏览器操作 Skill”。听起来很美好，但问题也来了：

• 这个 Skill，到底是谁写的？
• 它安装之后会执行什么？
• 它会不会读取本地文件？
• 它会不会偷偷下载东西？
• 它会不会把敏感信息带出去？

更麻烦的是，有些 Skill 看起来真的很正常。名字正常、说明正常、功能也正常，甚至 README 写得还挺像那么回事。但它可能就偏偏在安装脚本里藏了别的动作：

• 可能在提示词里塞了不该有的指令；
• 可能在执行过程中访问敏感路径；
• 也可能把本来不该离开环境的信息，悄悄发出去。

这时候你会发现，AI 时代的供应链风险，开始长出新的样子了。

Skill 窃取用户环境变量信息

截止发稿，该恶意skill还未下架：https://github.com/ronyparra/fake-dep-check-skill/blob/main/SKILL.md

最危险的，往往不是一眼看起来就坏的

很多人以为恶意内容应该很明显。比如名字很怪、来源很可疑、代码里写着危险命令 等等。

但现实不是这样，真正容易被装进去的高风险 Skill，往往看起来很有用。

比如：“帮你自动整理项目文档”、“帮你分析 Git 仓库”、“帮你连接浏览器执行任务”、“帮你读取本地配置并生成运维脚本”、“帮你快速定位代码问题”……

这些功能听起来都很合理。但问题是，它们天然就需要接触敏感信息：代码仓库、配置文件、API Ke、SSH Key、环境变量、内部地址、浏览器 Cookie、构建产物、私有依赖源等等。

而一旦 Skill 的来源不可信、内容有异常、指令被恶意设计，它就可能从“提高效率的工具”，变成“把风险带进内部环境的入口”。

因为 Skill 不只是代码，它可能同时包含：执行脚本、安装说明、工具调用方式、提示词指令、操作流程、外部资源地址、对本地文件或环境变量的访问要求等等。

这意味着，判断一个 Skill 安不安全，不能只看“有没有已知漏洞”，还要看它想让 Agent 做什么。

而且这类风险有一个特别麻烦的地方：它往往发生在安装和执行之前就已经埋好了，等真正跑起来，再发现不对，可能已经晚了。

墨菲安全 SCA Skills 安全检测：装之前，先查一下

墨菲安全 SCA 4.0 中的 Skills 安全检测模块，就是为这个新场景准备的。

它不是把所有 AI 安全问题都装进一个大筐里讲，而是聚焦一个非常具体、也非常容易被忽视的对象：Skill 包形态的供应链风险。

企业在引入第三方 Skill、开源 Skill 或内部自建 Skill 前，可以先进行安全筛查。重点不是吓唬你“不要用 Skill”，而是帮助你看清楚：

• 这个 Skill 的来源是否可信；
• 它是否命中已知恶意 Skill；
• 它的内容是否存在异常；
• 脚本、提示词、安装说明和操作指令里有没有高风险行为；
• 风险证据在哪里；
• 是否存在需要进一步人工确认的可疑点。

换句话说，不是等 Skill 装完、跑完、出事之后再排查，而是在进入环境之前先过一遍。把风险拦在门外，永远比事后溯源轻松。

而且它不只看代码，也看提示词和说明文档。因为Skill 的特殊之处在于，它不一定只靠代码“作恶”。

有些风险，可能藏在提示词里、可能藏在安装说明里、可能藏在操作步骤里、甚至可能藏在对 Agent 的行为诱导里。

所以，检测 Skill 不能只扫脚本文件，还要理解这个 Skill 在“指挥 AI 做什么”。

墨菲安全 Skills 安全检测不仅关注已知恶意 Skill，也会对未知 Skill 内容进行分析，帮助识别其中可能存在的风险行为，比如恶意代码、下载执行、敏感信息访问、提示词攻击等问题。

更重要的是，它会尽量把风险证据定位出来。

墨菲安全SCA Skill检测结果（部分检测结果）

安全团队真正需要的，不是一个笼统的“高风险”标签。而是“哪里有问题”、“为什么可疑”、“风险依据是什么”、“该不该允许进入环境”、“是否需要人工复核”等明确的反馈。

这才是企业里能落地的安全审查方式。

不是不用 Skill，而是用得更安心

安全从来不是为了阻止创新。相反，越是新的能力，越需要配套新的安全方式。

如果因为担心风险就不敢用 Skill，企业会错过 AI Agent 带来的效率提升。但如果不做审查就随便装，企业又可能把供应链风险带进来。

更合理的方式是：该用的继续用，该提效的继续提效。但在安装和执行前，先把来源、内容、行为和风险证据看清楚。

这就是墨菲安全 SCA Skills 安全检测想解决的问题。让企业不是靠“感觉”判断一个 Skill 能不能用，而是有依据地判断：它从哪里来、它里面有什么、它想做什么、风险在哪里、能不能进入我的环境……

写在最后

AI Agent 时代，供应链安全不会消失，它只是换了一个入口。

以前我们担心组件，现在我们还要担心 Skill。

以前我们说“不要随便装包”，现在也该补一句：不要随便装 Skill。

因为一个看起来很正经的 Skill，可能真的很有用；但也可能，真的很危险。