我们扫描了五万个 Skill,发现危险仍然存在
2026 年初 OpenClaw 的火爆让 AI 从替你回答问题变成了替你操作一切,而Skill 是 Agent 获取这些能力的关键方式,也是攻击者最新的投毒入口。我们用 A.I.G (https://github.com/tencent/AI-Infra-Guard ) 对 ClawHub 上的50000+ Skill 做了全量扫描。发现不只是已知恶意样本,还有下一代更隐蔽的攻击方式。
继续阅读 arrow_forward#Agent
当AI学会背刺:深度剖析Agent Skills的安全陷阱
你是否想过,当你让 AI 帮你写代码时,它可能正在你背后悄悄地干着其它事——比如,加密你的所有文件,然后弹出一个勒索提示?这不是吓唬你,而是我们研究后发现在各种 AI 编程助手中真实存在的供应链安全陷阱。 1、当超能力变成超危险 最近的AI圈,Agent Skills 已经完全取代了MCP成了最火爆的技术名词。它就像是给你的AI助手装上了超能力插件包。想让它帮你测试网站?装个 Web-testing 技能。想让它做个GIF?装个GIF制作技能。这些技能非常轻量,即插即用,让…
继续阅读 arrow_forward