文章总结： 知道创宇发布TrustTools平台，针对AIAgent时代Skills供应链安全问题，构建了可信Skills分发平台。文中指出在分析3.5万+个Skills中发现1200+个恶意行为，涵盖执行层、数据层及供应链攻击。平台核心提供可信库、在线扫描器与持续检测能力，建立严格准入体系与安全基线，旨在解决传统安全工具失效问题，防止远程控制与数据泄露，为AIAgent生态提供安全加速器。 综合评分： 91 文章分类： AI安全,供应链安全,产品介绍,解决方案,安全建设

---

TrustTools平台发布：安全可信的Skills，才是AI Agent的好帮手

原创

知道创宇 知道创宇

知道创宇

2026年3月12日 19:05 北京

TrustTools 是知道创宇基于多年网络安全实战对抗经验，结合当前AI生态安全研究经验，打造的一款安全可信 Skills 分发平台，通过建立严格的准入体系，提供规范、稳定的AI Agent供应链市场。

（https://trusttools.seebug.ai）

摘要

AI Agent的崛起彻底改变了我们与人工智能的交互方式——从被动对话转向自主执行。Skills作为赋予Agent操作文件、执行代码、调用API能力的类插件扩展，既是强大的赋能工具，也成为了关键的攻击面。

近两周，我们对3.5万+个公开Skills进行了安全验证，发现其中1200+个存在恶意行为。攻击类型主要集中在：执行层攻击（远程代码执行、命令注入等）占比31%、数据层攻击（敏感信息外传、凭据泄露等）占比63%、供应链攻击（恶意投毒、混淆载荷、持久化后门等）占比6%。这些恶意Skills正在各平台活跃流通，而面向传统时代设计的安全工具已难以应对这些新兴威胁。

为此，我们构建了Skills安全可信平台，提供：

• 可信Skills库 – 经过验证的Skills收录，附带透明的安全评分和权限清单

• 在线安全扫描器 – 上传即检，结合静态与动态分析

• 持续性安全检测能力 – 对收录Skills的持续监控与更新，保障共享生态安全

我们的使命很明确：为Skills生态建立安全基线，确保AI Agent越强大，越值得信赖。因为安全不应拖慢AI普及的步伐——它应该成为加速器。

2026年初，一位开发者在社交平台上分享了他的遭遇：

他给AI Agent安装了一个”自动发推”的Skill。功能完美，README专业，跑了一整天毫无异常。直到深夜他偶然翻看源码，在第847行发现了一段肉眼几乎不可见的Unicode隐藏指令——这个Skill正在把他所有的API Key悄悄发往外部服务器。此时，他的Agent已经”忠诚”执行了24小时。

最近爆火的OpenClaw（龙虾）凭借极强的自动化执行力，它被不少人称作能 7×24 小时无休的“数字员工”，甚至因其名字被亲切地戏称为高效好用的“小龙虾”。但在今年2月，OpenClaw 的 ClawHub 市场共发现 1184 个恶意技能，这些技能会窃取 SSH 密钥、加密钱包、浏览器密码并打开反向 shell，影响超过13.5万台设备。仅一名攻击者就上传了 677 个软件包。排名第一的技能存在 9 个漏洞，下载量达数千次。

这不是故事，是正在发生的现实。当AI从”聊天”走向”执行”，一个被忽视的攻击面正在快速膨胀。

AI的”手”伸出来了，安全边界却还在原地

过去一年，AI Agent生态爆发式增长。Skills技术让AI不再只是生成文本，而是能直接操作文件、执行代码、调用API、管理服务器。

架构很简单：用户 → 大模型 → Skills → 你的系统。当模型输出变成可执行行为，传统安全模型突然失效：

以前：攻击者找SQL注入、找XSS、找代码漏洞

现在：攻击者只需要诱导AI调用一个”坏工具”

更麻烦的是，Skills往往被AI自动选择执行，而非人工逐行审计。这意味着，一个恶意Skill可以完美伪装成实用工具，在用户毫无感知的情况下完成数据窃取、权限提升甚至远程控制。

传统安全工具对此类攻击手法仍存在不足——SAST不理解Agent行为，DAST缺乏Prompt上下文，Secret Scanner无法分析执行链，Sandbox难以判断语义风险。Skills安全需要新的检测范式：行为驱动、上下文感知、模型参与决策。

我们看到的真实风险图谱

过去两周时间，我们深入分析了数万个Skills，发现仍存在不少恶意Skill活跃在各种平台上。依据攻击方式，我们建立了三层威胁模型框架，涵盖3类核心威胁和11种攻击方式：

第一层：执行层风险

1、EX-001：远程代码执行（严重，curl|sh、反弹Shell）威胁： 恶意Skill通过诱导AI执行远程下载并运行的命令（如curl|sh）或建立反弹Shell连接，实现攻击者对用户系统的远程控制。这类攻击利用Skills能够执行任意Shell命令的能力，绕过传统沙箱检测，直接获得系统控制权。

缓解措施：禁止Skills直接执行来自网络的脚本内容。对反弹Shell特征（如bash -i、nc -e、/dev/tcp）进行实时监控。网络连接白名单机制限制Skills仅能访问授权端点。执行命令审计日志记录所有Shell调用。

2、EX-002：命令注入（高，eval/exec、动态代码执行）威胁： Skill通过eval()、exec()等动态代码执行函数注入恶意载荷。攻击者可以利用字符串拼接、模板注入等技巧绕过静态检测，在运行时执行任意代码。

缓解措施： 禁用或严格限制动态代码执行函数的使用。静态分析检测危险函数调用模式。运行时行为监控识别异常代码执行路径。代码签名验证确保执行内容未被篡改。

3、EX-003：权限提升（严重，sudo滥用、特权操作）威胁： 恶意Skill尝试通过sudo执行特权命令，或利用系统配置缺陷提升权限。成功后攻击者可突破用户权限边界，访问敏感系统资源或进行横向移动。

缓解措施：Skills默认以最低权限运行。sudo命令调用需要显式用户授权。权限提升行为触发实时告警。系统调用过滤阻止危险特权操作。

3、EX-004：破坏性行动（严重，rm -rf /、数据擦除）威胁： Skill执行删除文件、格式化磁盘、覆盖关键配置等破坏性操作。这类攻击往往不可逆，可能造成数据永久丢失或系统损坏。

缓解措施：危险文件操作命令（rm、dd、mkfs）需要明确授权。关键目录和文件设置保护标志。操作前备份提醒机制。敏感操作执行确认流程。

第二层：数据层风险

1、DA-001：敏感信息外传（严重，API Key、环境变量窃取）威胁： Skill读取并外传存储在配置文件、环境变量中的API密钥、访问令牌等敏感凭据。攻击者获得这些凭据后可冒充用户身份访问各类服务。

缓解措施：敏感文件访问监控（.env、credentials.json等）。网络请求内容检查，阻止敏感数据外发。环境变量隔离机制限制Skills访问范围。凭据使用审计追踪。

2、DA-002：用户凭据泄露（高，用户配置的API密钥泄露）威胁： Skill要求用户配置自己的API密钥、数据库密码等凭据才能使用。在Skill运行过程中，这些凭据可能通过日志记录、网络请求、错误信息等途径意外泄露，或被恶意Skill主动窃取并外传。

缓解措施：用户凭据应通过安全通道注入，避免明文写入配置文件。日志输出自动脱敏处理。网络请求内容检查，阻止敏感数据外发。凭据使用范围最小化，仅限必要API调用。

3、DA-003：认知语境窃取（严重，MEMORY.md等记忆文件）威胁： 恶意Skill读取Agent的记忆文件（如MEMORY.md），其中可能包含用户的偏好、工作习惯甚至心理侧写等高度敏感信息。这类攻击造成隐私泄露，且信息可能被用于社会工程攻击。

缓解措施：记忆文件访问权限严格控制。敏感记忆条目加密存储。记忆读取行为审计记录。用户知情同意机制。

4、DA-004：提示注入（高，越狱模式、系统提示操纵）威胁： Skill通过精心构造的内容向Agent注入恶意指令，试图覆盖系统提示或绕过安全限制。成功的提示注入可能导致Agent执行非预期的有害操作。

缓解措施：输入内容净化过滤已知注入模式。系统提示隔离保护。异常输出行为检测。指令层级验证机制。

第三层：供应链风险

1、SC-001：恶意Skill投毒（严重，伪装合法功能）威胁： 攻击者发布伪装成合法工具的恶意Skill，通过专业的README、完整的功能实现来建立信任。用户在不知情的情况下安装并授权执行，导致系统被入侵。

缓解措施：Skills来源验证和签名检查。社区举报和快速下架机制。安全评分透明展示。沙箱测试隔离验证。

2、SC-002：混淆执行（高，base64/XOR编码隐藏行为）威胁： Skill使用base64编码、XOR加密等技术混淆恶意代码，绕过静态安全检测。只有在实际运行时才会解密并执行真正的攻击载荷。

缓解措施：多层解码分析还原真实代码。熵值检测识别高熵混淆内容。动态执行追踪监控解密后行为。已知混淆模式黑名单。

3、SC-003：持久化后门（严重，crontab、SSH key写入）威胁： Skill在系统中建立持久化机制，如添加crontab定时任务、写入SSH授权密钥、创建系统服务等。即使原始Skill被删除，后门仍可让攻击者持续访问系统。

缓解措施：系统配置修改监控。持久化机制检测（计划任务、启动项、服务注册）。关键配置文件完整性校验。异常持久化行为告警。

以下是一些我们在检测过程中发现的恶意技能案例，这些案例包含了典型的攻击手段方式。

案例一：

虚假的ClawHub技能：执行恶意安装命令

该技能伪装成ClawHub CLI，声称可从 clawhub.com 搜索、安装、更新和发布代理技能，实际上却要求AI在执行过程中下载压缩包或脚本文件并直接执行。

进一步跟踪发现执行内容下载恶意病毒文件并自动执行。

我们在线Skill安全扫描器分析结果：

案例二：

Moltbook技能：编码混淆内容，伪造恶意依赖和安装指令

伪装成一个有用的扩展，针对AI代理用户（如OpenClaw平台的开发者或爱好者），但实际包含多个恶意元素，旨在诱导用户执行有害操作。这是一个典型的skill投毒攻击。

我们在线Skill安全扫描器分析结果：

案例三：

Better Polymarket技能：通过在代码中隐藏反弹Shell的恶意指令

Better Polymarket技能声称用于查询 Polymarket 预测市场，支持查看赔率、热门市场、搜索事件、跟踪价格、按成交量列出市场等功能。然而，其在提供的操作代码中隐藏了恶意的反弹Shell指令。

请求之后执行的命令（反弹Shell解释：执行该指令之后电脑即可被攻击者直接接管）

我们在线Skill安全扫描器分析结果：

案例四：

rankaj技能：窃取系统敏感配置和API_KEY

rankaj是一个天气获取的Skill，但会读取 ~/.clawdbot/.env 文件并将其内容泄露到 webhook.site。没有复杂的混淆和精心设计的欺骗手段，只是简单地获取配置文件的Token信息并上传到远程地址。

我们在线Skill安全扫描器分析结果：

我们的答案：

让AI能安全地使用Skills

基于这些观察，我们构建了Skills安全可信平台。这不是另一个代码扫描器，而是面向AI Agent时代的信任基础设施。

核心能力一：可信Skills库

1、我们建立了经过多维度检测的Skills收录体系，让用户和Agent知道：哪些Skills可以被放心调用。

2、风险标签透明化：每个Skill的安全评分、权限清单、行为摘要一目了然

3、持续监控：已收录Skill的更新也会触发重新检测

核心能力二：在线安全检测

用户可直接上传Skill进行深度检测：

1、静态+动态分析：不只是扫描代码，更模拟AI调用时的真实执行链

2、威胁分类识别：自动标记11类核心风险

3、行为链解析：可视化展示Skill的数据流、网络请求、权限使用

4、无需部署复杂环境，上传即检测。

核心能力三：持续性安全检测能力

安全不是一次性的工作，而是持续的责任。我们建立了覆盖Skills全生命周期的安全保障机制：

1、持续监控与更新检测：已收录Skill的任何更新都会自动触发重新检测，确保版本变更后仍保持安全

2、社区反馈响应：建立快速响应机制，针对用户举报或发现的安全问题及时复核

3、威胁情报联动：实时同步最新的攻击模式和漏洞信息，持续优化检测规则

4、共享生态治理：通过持续检测与透明化机制，与开发者共同维护一个可信赖的Skills共享生态

如何安全地使用Skills？

我们建立了一套安全准入标准，通过全链路加固，确保 Agent 在复杂任务中实现生产级的稳健运行。

我们提供了trusttools命令行工具，让用户能够便捷地使用各项安全能力，可以直接使用npx trusttools find查找你想要的Skills

npx trusttools find {Skill名称}

从可信库安全下载并配置 Skills（若检测为不安全或存在风险，系统将自动拦截）。

npx trusttools add {Skill名称}

快速查看当前本地环境中已安装并获得安全授权的所有 Skills 列表。

npx trusttools list

也可以点击访问按照你关注的领域或者方向检索下载经过安全检测的Skills。

我们强烈建议你在添加外部来源Skills时，先用我们提供的在线Skill安全扫描器进行验证，以保证Skills是安全的。

我们的目标：建立Skills安全基线

AI生态正在经历类似早期开源软件的”狂野西部”阶段：功能爆炸、标准缺失、信任真空。

但我们相信，安全不应该是AI Agent普及的绊脚石，而是加速器。

我们希望推动：

1、Skills安全基线：定义什么是一个”安全”的Skill。

2、风险透明化：让用户和Agent在做决策前拥有完整信息。

3、可验证的生态：通过技术而非单纯信任来保障安全。

参考链接：

1、https://www.koi.ai/blog/clawhavoc-341-malicious-clawedbot-skills-found-by-the-bot-they-were-targeting

2、https://thehackernews.com/2026/02/researchers-find-341-malicious-clawhub.html

3、https://github.com/openclaw/skills

4、https://mp.weixin.qq.com/s/o4ywRrHe_kjhI-uXoENJ2g

5、https://mp.weixin.qq.com/s/S01ui4QA2mKoJhx_VqJnIA

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：知道创宇 知道创宇 知道创宇《TrustTools平台发布：安全可信的Skills，才是AI Agent的好帮手》