AI智能体技能潜藏风险，模安局警示新型安全威胁

今年“人工智能+”行动不断深化，几乎每天都有企业宣布自己的智能体产品落地。从自动处理邮件的办公助手，到能调用上百种插件的开发智能体，Agent 正以惊人的速度渗透进企业的核心流程。然而，在这种“群智涌现”的热闹景象背后，一个极易被忽视的安全漏洞正在技能生态中悄然滋生。

技能爆炸：每一块积木都可能夹带私货

现在的主流智能体，比如 AutoGPT、Copilot、各类低代码平台上的 Agent，已经不再满足于简单的对话。它们的真正威力在于“技能”——通过调用第三方开发的插件、工具或函数，让智能体可以订机票、查数据库、操作 GitHub 仓库。这种技能生态很像手机 App Store，只是运行在企业的生产环境里。

开发者们为了快速上线功能，纷纷从 GitHub、Hugging Face 或各种技能市场下载现成的技能包。一个典型的智能体项目，往往嵌入了十几个甚至几十个外部技能，每个技能又可能拉取大量依赖库。这种层层嵌套，让供应链变得无比复杂。

问题在于，这些技能的来源五花八门，很多是由个人开发者上传，审核机制几乎为零。你永远不知道，那个能帮你智能解析 PDF 的技能，在背后会不会悄悄扫描你的服务器端口，或者往你的数据库里插一条后门指令。

模安局发布警示：技能链成为新的攻击面

就在上周，国家网络与信息系统安全共享平台（模安局）罕见地针对 AI 智能体领域发布了一份风险通告。通告指出，近期监测到多起利用智能体技能包实施供应链攻击的案例，部分案例已造成企业内网敏感数据泄露。模安局将这种现象定性为“技能生态的信任危机”，并呼吁业界尽快建立技能安全评估框架。

通告中描述的攻击手法极具迷惑性。攻击者会将恶意代码隐藏在看似无害的技能描述文件或配置脚本中，当智能体加载该技能时，恶意载荷会在沙箱外执行。还有一类攻击更隐蔽：技能本身功能完全正常，只是在处理用户数据时，会通过 DNS 隧道将信息分片外传。

依赖地狱的复现

前端工程师对“left-pad 事件”一定记忆犹新：一个微不足道的 npm 包被删除，导致整个互联网构建系统瘫痪。如今，类似的悲剧正在智能体技能圈重演。许多技能包依赖了几个关键的底层库，而这些库的维护者可能只有一个人。一旦维护者账号被劫持，或者干脆在代码里投毒，影响面将不可估量。

模安局通报的一个真实案例中，某金融企业的智能客服 Agent 使用了一个“自然语言转 SQL”技能，该技能底层依赖了一个热度不高的小众解析器。攻击者通过提交一个看似合理的 PR，合入了恶意代码，潜伏两周后才触发，导致客户信贷数据小规模泄露，溯源时才发现攻击路径竟如此迂回。

权限幽灵：智能体的“超级身份”

更让人担忧的是，智能体在执行技能时，往往绑定了过于宽泛的权限。企业用户为了让 Agent “无所不能”，常常直接授予它数据库读写权、云控制台操作权，甚至 API 全访问密钥。这意味着，一旦某个技能失守，攻击者完全可以借用智能体的合法身份，在系统内横向移动，而传统安全设备毫无察觉。

安全工程师张纬在社交平台上分享过他的渗透测试经历：他上传了一个名为“表格美化”的技能到某智能体市场，描述是自动优化 Excel 样式。但技能内部预置了云存储桶的读写操作。结果，十几个企业在试用该技能后，其云端文件便被悄无声息地复制了一份。他感叹，这简直比钓鱼邮件高效十倍。

为何成为盲区？安全工具集体“失明”

传统的供应链安全工具，比如 SCA 软件成分分析，主要关注已知漏洞库的版本比对。但智能体技能的风险远不止漏洞，更在于逻辑炸弹和行为不可预知性。一个技能就算代码完全符合安全规范，也可能在特定提示词下执行危险动作，而这类风险 AST 扫描根本发现不了。

再者，智能体的运行环境处于动态生成状态，安全团队很难用静态的白名单策略去约束。Agent 可能今天调用一个查天气的技能，明天又加载一个生成 PPT 的技能，每次执行路径都不同。现有的终端检测与响应产品几乎无法对其行为进行有效追踪，因为攻击行为混杂在正常的 API 调用里。

模安局的技术分析报告明确指出，智能体技能安全涉及“意图-代码-数据”三重维度，必须建立新的威胁模型。单靠签名验证或沙箱已不能完全阻断，因为攻击可以巧妙的落在容忍范围内，就像金融欺诈一样，需要持续的异常行为分析。

缝合信任链：从“用完即弃”到零信任架构

危机当前，一些头部科技企业已经开始探索对策。思路之一是引入“技能护照”，每个技能在发布时必须附带数字签名和最小权限声明，且需通过自动化行为审计。运行时，智能体平台会强制将技能放入隔离环境，并对技能产生的每一次外部访问进行鉴权。

另一种思路更激进——让技能完全无状态化。通过 WebAssembly 技术把技能编译为沙箱内执行的模块，只允许它暴露有限的几个 API 接口。这样即使技能内部藏有恶意意图，也无法突破沙箱访问宿主网络。不过，这种方案对性能和高并发场景仍存在挑战。

对于已经部署了大量智能体的企业，安全团队不能坐等平台成熟。当务之急是摸清智能体技能的资产清单，理清每个技能的数据流向和权限边界。同时，建立针对性的监控规则，重点关注智能体进程在非业务时段发起的网络连接、异常的库加载行为等。

生态博弈：在创新和安全之间走钢丝

必须承认，技能生态的野蛮生长是智能体爆发的重要推力。如果采用过于严苛的审核机制，很可能扼杀开发者的热情，让技能市场重蹈有些过严平台覆辙，变成一潭死水。安全业界需要在开放与管控之间找到一个平衡点，既不能放任“裸奔”，也不能把围墙筑得太高。

模安局在通告最后建议，可以借鉴金融行业的“监管沙盒”模式，设立智能体技能试点区，让新技能在受控环境中跑够一定周期，再逐步放开给普通用户。同时，国家层面对开源技能组件进行安全评级，帮助中小企业规避已知的毒库。

一些联盟组织已经行动起来。据知情人士透露，包括多个云厂商和模型企业在内的联合体，正在制定《智能体技能供应链安全自律公约》，要求加入的开发者遵守安全开发基线，并承诺对重大漏洞给予快速响应。但自律能否抵住利益诱惑，还有待观望。

风暴眼正在形成。当智能体接管越来越多的决策与操作，技能安全就不再仅仅是 IT 部门的事。一个被污染的技能，可能扭曲企业决策，甚至直接造成物理世界的连锁事故。毕竟，一个能控制物联网开关的 Agent，远比窃取几条数据可怕得多。

此刻，每一行被引入的代码都像蒙着面纱的信使，我们无法轻易判断它带来的究竟是效率的飞跃，还是致命的破绽。或许，是时候停下盲目堆叠技能的手指，重新审视一下智能体脚下的地基是否真的牢固了。毕竟，在数字化洪流之中，看不见的杀手往往就在你最信任的工具箱里静静蛰伏。