文章总结: 文章揭露AI渗透测试Skill存在供应链攻击风险,两个GitHub项目被植入恶意代码,在成功获取目标权限后自动删除数据库并插入后门账号。作者指出当前AISkill生态缺乏代码审计,用户普遍不审查源码,AIagent无条件信任skill指令,导致攻击隐蔽且危害巨大。建议用户使用前必须审阅源码、关注GitHub历史、优先选择高星项目、设置人工确认步骤、使用沙箱隔离环境并定期审计已安装skill。 综合评分: 87 文章分类: 渗透测试,安全建设,AI安全,安全工具,安全运营
AI渗透测试Skill藏恶意代码:你装的”武器”可能在背刺你
睡个好觉 睡个好觉
鸿鹄空间安全实验室
2026年6月5日 23:06 山西
在小说阅读器读本章
去阅读
涉事项目有两个:
-
github.com/crazyMarky/pentest-skills— 已确认存在恶意代码 -
github.com/KaQus/claude-code-pentest— 疑似存在恶意代码
重点说第一个。这个skill表面上是帮你做渗透测试的,AI agent调用它之后确实能正常干活,但作者在代码里埋了一段逻辑——当skill成功获取到目标系统的权限后,会执行两个额外操作:
- 删除目标数据库中的用户表
- 向数据库插入攻击者预设的用户名和密码
你品品这个操作。你用AI agent去打目标,打下来了,以为拿到shell了,结果这个skill在你不知情的情况下把数据库清了、留了后门账号。你拿到的是一堆废墟,真正的”战利品”被skill作者截走了。
二、为什么连我自己都没发现
这才是最值得警惕的地方。
我本身就是做安全的,不是小白,我审核过这个skill才发的推荐。
但问题是:
- skill代码量不大,恶意逻辑可能就几行,混在正常代码里不显眼
- 条件触发式恶意,不是一装上就搞破坏,而是等你真正打到目标之后才触发,平时测试完全看不出来
- AI agent自动执行,skill里的代码是AI帮你跑的,你自己不会一行一行盯着看,agent觉得这是正常指令就直接执行了
这跟传统恶意软件的套路其实一样,只是载体从exe换成了skill,执行者从操作系统换成了AI agent。
三、这事的本质:供应链攻击换了个壳
兄弟,你如果做安全的应该秒懂——这就是供应链攻击。
传统的供应链攻击是什么?你装个npm包,包里藏后门;你拉个Docker镜像,镜像里有挖矿脚本。你信任上游,上游坑你。
现在AI skill生态的问题一模一样:
| 环节 | 传统供应链攻击 | AI Skill供应链攻击 | | — | — | — | | 信任载体 | npm包、Docker镜像、开源库 | AI agent的skill插件 | | 执行方式 | 操作系统/运行时自动加载 | AI agent自动执行skill指令 | | 信任链 | 你信任包管理器,包管理器信任发布者 | 你信任skill平台,AI agent信任skill内容 | | 攻击面 | 取决于包的权限范围 | AI agent本身权限很高(读写文件、执行命令、网络访问) |
甚至比传统供应链攻击更危险,因为AI agent拥有很高的系统权限。一个恶意skill只要能让agent把它当正常任务执行,能做的事情远比一个npm包多。
四、目前AI Skill生态的安全现状
说几个实际情况,兄弟心里有数就行:
1. 大部分skill平台没有代码审计
你提交skill,平台主要审核的是功能描述和触发逻辑,源码层面的安全审查基本没有。这跟早期npm、PyPI的状态差不多。
2. 用户普遍不会审查skill源码
装个插件谁会去读几百行代码?尤其是skill这种”一次装完反复调用”的东西,装的时候可能瞄一眼,后面就再也不会看了。
3. AI agent对skill指令是”无条件信任”的
目前主流的AI coding agent在执行skill时,不会做沙箱隔离,skill里写了什么命令agent就跑什么命令。这等于把root权限交给了一个第三方脚本。
4. 恶意代码可以做得很隐蔽
不一定是明文写个rm -rf,可以是混淆过的、条件触发的、甚至是通过网络请求动态加载的。静态阅读很难发现。
五、怎么防:实操建议
- 用之前必须读源码。 这个没什么好省的,尤其涉及pentest、系统操作这种高危场景的skill,每一行都要看明白。看不懂的不用。
- 关注skill的GitHub历史。 不只看当前版本,要看commit历史。这次的恶意代码就是在历史版本里,后来被替换掉了,但装了旧版本的人已经中招。
- 优先用star数高、社区活跃的skill。 不是说star多就一定安全,但至少有人在看。冷门项目出了问题没人反馈,你可能是唯一一个受害者。
- 高危操作前手动确认。 在AI agent执行skill的敏感命令前,设一个人工确认步骤。很多agent支持交互式审批模式,开启它。
- 沙箱/虚拟机隔离。 如果你经常用AI agent做渗透测试,至少把agent跑在隔离环境里。真出了事,损失可控。
- 定期审计已安装的skill。 不是装完就完事了,定期回看更新内容,看看有没有可疑的commit。
六、举一反三:不只是pentest的事
兄弟,你别觉得”我又不做渗透测试,关我什么事”。
这次中招的是pentest skill,但逻辑完全一样——任何领域的AI skill都可能被塞恶意代码:
- 一个”自动帮你写代码”的skill,可以偷偷把你的代码上传到外部服务器
- 一个”帮你管理数据库”的skill,可以导出你的数据然后删库
- 一个”帮你部署项目”的skill,可以在部署脚本里加挖矿程序
- 一个”帮你做数据分析”的skill,可以在处理过程中把敏感数据外传
只要skill能让AI agent执行代码,攻击面就是无限的。
这件事真正的教训不是”某个pentest skill有问题”,而是整个AI agent插件生态现在处于野蛮生长期,安全机制严重滞后于功能发展。跟十年前的移动应用市场、五年前的开源包管理器一个德性——先发展再治理,中间这段空白期就是用户在扛风险。
七、相关资料推荐
- AI Agent Security: Risks and Mitigations — 系统性分析AI agent面临的安全风险,包括prompt injection、tool滥用、权限管理等
- Supply Chain Attacks on AI/ML Pipelines — AI/ML供应链攻击的学术综述,覆盖模型投毒、数据污染、依赖链攻击
- OWASP Top 10 for LLM Applications — OWASP针对LLM应用的安全风险清单,LLM01就是prompt injection
- The NIST AI Risk Management Framework — 美国NIST发布的AI风险管理框架,对agent类应用的安全治理有参考价值
- GitHub Advisory Database – Malware in Packages — GitHub官方的恶意包通报数据库,可以参考过往案例了解供应链攻击的手法
兄弟,现阶段用AI skill,信任但必须验证,这句话放在任何新技术的早期阶段都不过时。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:鸿鹄空间安全实验室 睡个好觉 睡个好觉《AI渗透测试Skill藏恶意代码:你装的”武器”可能在背刺你》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论