AI渗透测试Skill藏恶意代码:你装的”武器”可能在背刺你

admin 2026-07-14 04:54:00 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文章揭露AI渗透测试Skill存在供应链攻击风险,两个GitHub项目被植入恶意代码,在成功获取目标权限后自动删除数据库并插入后门账号。作者指出当前AISkill生态缺乏代码审计,用户普遍不审查源码,AIagent无条件信任skill指令,导致攻击隐蔽且危害巨大。建议用户使用前必须审阅源码、关注GitHub历史、优先选择高星项目、设置人工确认步骤、使用沙箱隔离环境并定期审计已安装skill。 综合评分: 87 文章分类: 渗透测试,安全建设,AI安全,安全工具,安全运营


cover_image

AI渗透测试Skill藏恶意代码:你装的”武器”可能在背刺你

睡个好觉 睡个好觉

鸿鹄空间安全实验室

2026年6月5日 23:06 山西

在小说阅读器读本章

去阅读

涉事项目有两个:

  • github.com/crazyMarky/pentest-skills — 已确认存在恶意代码

  • github.com/KaQus/claude-code-pentest — 疑似存在恶意代码

重点说第一个。这个skill表面上是帮你做渗透测试的,AI agent调用它之后确实能正常干活,但作者在代码里埋了一段逻辑——当skill成功获取到目标系统的权限后,会执行两个额外操作:

  1. 删除目标数据库中的用户表
  2. 向数据库插入攻击者预设的用户名和密码

你品品这个操作。你用AI agent去打目标,打下来了,以为拿到shell了,结果这个skill在你不知情的情况下把数据库清了、留了后门账号。你拿到的是一堆废墟,真正的”战利品”被skill作者截走了。


二、为什么连我自己都没发现

这才是最值得警惕的地方。

我本身就是做安全的,不是小白,我审核过这个skill才发的推荐。

但问题是:

  • skill代码量不大,恶意逻辑可能就几行,混在正常代码里不显眼
  • 条件触发式恶意,不是一装上就搞破坏,而是等你真正打到目标之后才触发,平时测试完全看不出来
  • AI agent自动执行,skill里的代码是AI帮你跑的,你自己不会一行一行盯着看,agent觉得这是正常指令就直接执行了

这跟传统恶意软件的套路其实一样,只是载体从exe换成了skill,执行者从操作系统换成了AI agent。


三、这事的本质:供应链攻击换了个壳

兄弟,你如果做安全的应该秒懂——这就是供应链攻击

传统的供应链攻击是什么?你装个npm包,包里藏后门;你拉个Docker镜像,镜像里有挖矿脚本。你信任上游,上游坑你。

现在AI skill生态的问题一模一样:

| 环节 | 传统供应链攻击 | AI Skill供应链攻击 | | — | — | — | | 信任载体 | npm包、Docker镜像、开源库 | AI agent的skill插件 | | 执行方式 | 操作系统/运行时自动加载 | AI agent自动执行skill指令 | | 信任链 | 你信任包管理器,包管理器信任发布者 | 你信任skill平台,AI agent信任skill内容 | | 攻击面 | 取决于包的权限范围 | AI agent本身权限很高(读写文件、执行命令、网络访问) |

甚至比传统供应链攻击更危险,因为AI agent拥有很高的系统权限。一个恶意skill只要能让agent把它当正常任务执行,能做的事情远比一个npm包多。


四、目前AI Skill生态的安全现状

说几个实际情况,兄弟心里有数就行:

1. 大部分skill平台没有代码审计

你提交skill,平台主要审核的是功能描述和触发逻辑,源码层面的安全审查基本没有。这跟早期npm、PyPI的状态差不多。

2. 用户普遍不会审查skill源码

装个插件谁会去读几百行代码?尤其是skill这种”一次装完反复调用”的东西,装的时候可能瞄一眼,后面就再也不会看了。

3. AI agent对skill指令是”无条件信任”的

目前主流的AI coding agent在执行skill时,不会做沙箱隔离,skill里写了什么命令agent就跑什么命令。这等于把root权限交给了一个第三方脚本。

4. 恶意代码可以做得很隐蔽

不一定是明文写个rm -rf,可以是混淆过的、条件触发的、甚至是通过网络请求动态加载的。静态阅读很难发现。


五、怎么防:实操建议

  1. 用之前必须读源码。 这个没什么好省的,尤其涉及pentest、系统操作这种高危场景的skill,每一行都要看明白。看不懂的不用。
  2. 关注skill的GitHub历史。 不只看当前版本,要看commit历史。这次的恶意代码就是在历史版本里,后来被替换掉了,但装了旧版本的人已经中招。
  3. 优先用star数高、社区活跃的skill。 不是说star多就一定安全,但至少有人在看。冷门项目出了问题没人反馈,你可能是唯一一个受害者。
  4. 高危操作前手动确认。 在AI agent执行skill的敏感命令前,设一个人工确认步骤。很多agent支持交互式审批模式,开启它。
  5. 沙箱/虚拟机隔离。 如果你经常用AI agent做渗透测试,至少把agent跑在隔离环境里。真出了事,损失可控。
  6. 定期审计已安装的skill。 不是装完就完事了,定期回看更新内容,看看有没有可疑的commit。

六、举一反三:不只是pentest的事

兄弟,你别觉得”我又不做渗透测试,关我什么事”。

这次中招的是pentest skill,但逻辑完全一样——任何领域的AI skill都可能被塞恶意代码

  • 一个”自动帮你写代码”的skill,可以偷偷把你的代码上传到外部服务器
  • 一个”帮你管理数据库”的skill,可以导出你的数据然后删库
  • 一个”帮你部署项目”的skill,可以在部署脚本里加挖矿程序
  • 一个”帮你做数据分析”的skill,可以在处理过程中把敏感数据外传

只要skill能让AI agent执行代码,攻击面就是无限的。

这件事真正的教训不是”某个pentest skill有问题”,而是整个AI agent插件生态现在处于野蛮生长期,安全机制严重滞后于功能发展。跟十年前的移动应用市场、五年前的开源包管理器一个德性——先发展再治理,中间这段空白期就是用户在扛风险。


七、相关资料推荐

  1. AI Agent Security: Risks and Mitigations — 系统性分析AI agent面临的安全风险,包括prompt injection、tool滥用、权限管理等
  2. Supply Chain Attacks on AI/ML Pipelines — AI/ML供应链攻击的学术综述,覆盖模型投毒、数据污染、依赖链攻击
  3. OWASP Top 10 for LLM Applications — OWASP针对LLM应用的安全风险清单,LLM01就是prompt injection
  4. The NIST AI Risk Management Framework — 美国NIST发布的AI风险管理框架,对agent类应用的安全治理有参考价值
  5. GitHub Advisory Database – Malware in Packages — GitHub官方的恶意包通报数据库,可以参考过往案例了解供应链攻击的手法

兄弟,现阶段用AI skill,信任但必须验证,这句话放在任何新技术的早期阶段都不过时。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:鸿鹄空间安全实验室 睡个好觉 睡个好觉《AI渗透测试Skill藏恶意代码:你装的”武器”可能在背刺你》

评论:0   参与:  0