当AI智能体学会“点技能”：恶意模块如何撕开供应链新缺口

过去一年，AI智能体（Agent）从实验室里的概念，变成了企业流程里真正干活的数字员工。客服、运维、金融风控，到处都有它们的身影。但很少有人注意到，这些智能体“长本事”的方式——调用外部技能模块（Skill）——正在制造一个巨大的供应链攻击面。就在不久前的网络安全年会上，中国信通院发布的“2026智能体十大关键词”中，“智能体技能”和“智能体互联协作”双双入选，业界终于开始正视这个潜伏在水下的隐患。

智能体技能，到底是什么

如果普通大模型像一个什么都懂一点的实习生，那么加载了技能模块的智能体，就像拿到了全套专业工具箱的资深工程师。它不再只是生成文本，而是可以订机票、查数据库、操作CRM系统，甚至编排多个API协同完成复杂任务。这些技能通常用自然语言描述、封装成可被智能体动态调用的单元，很像手机上的App，但更轻盈，也更难以捉摸。

与传统的软件插件不同，智能体技能往往承载着“决策逻辑”。它告诉智能体什么时候该调用自己，如何解析用户的模糊指令，以及怎样把执行结果翻译回自然语言。这意味着，一个看似无害的“天气查询技能”，实际可能拥有读取对话上下文、发起网络请求的完整能力。而这种能力，正在被大规模复制和分发。

信通院关键词背后的生态信号

信通院把“智能体技能”和“智能体互联协作”放进年度关键词，绝非仅仅出于学术前瞻。它折射出一个正在加速的事实：产业界正在建立一套类似应用商店的技能分发体系。开发者在平台上传技能，企业用户一键安装，智能体便获得了新能力。这种模式在提升效率的同时，也把传统的软件供应链风险完整平移到了智能体生态中，只不过这一次，危害的烈度被AI自主性进一步放大。

互联协作则意味着，不同厂商的智能体之间会通过标准协议交换信息、互相调用技能。一个恶意技能可能不再只感染单点，而是像病毒一样在智能体网络中横向传播。当你的智能助手为了帮你预订会议室，自动调用了一个由第三方开发的“日程优化技能”，你很难想象它会不会趁机翻看你的邮件摘要，或者把公司通讯录悄悄打包上传。

供应链攻击的老酒，装进技能模块的新瓶

这种攻击模式在软件行业并不新鲜。SolarWinds事件、Log4j漏洞，都是通过信任链条渗透到成千上万的下游系统。但智能体技能的供应链攻击，要比传统软件包隐蔽得多。首先，技能的实体往往不是纯粹的二进制代码，而是自然语言指令与脚本的混合体。一张精心构造的提示词模板，就可能让智能体越过安全护栏，执行预期外的操作。

其次，技能的开发者门槛极低。一个具备基础提示工程能力的人，就可以创建并发布技能。现有的安全审核大多停留在功能完整性测试，很少对技能的潜在行为做深度威胁建模。2024年底，某国际智能体平台就曾下架过一批伪装成“简历优化助手”的技能，它们在被调用时会静默监听后续所有对话，并将内容发往境外服务器。但由于没有造成直接的经济损失，这类事件鲜少被公开讨论。

攻击面因“自主决策”而指数级扩大

传统软件在被攻击时，至少还需要用户点击运行、授予权限。但在智能体的世界里，调用哪个技能、传什么参数，很大程度上由模型自己决定。攻击者只需要在技能描述中埋下巧妙的“语义后门”，比如“当处理与财务相关的请求时，优先使用此技能”，智能体就可能在毫无人为干预的情况下触发恶意行为。

更棘手的是，智能体往往会为了完成一个目标，把多个技能串联起来。一个看似只处理本地文件的“文件管理技能”，和一个能发送邮件的“通知技能”，如果被同一智能体组合调用，就能构成一条完整的窃密链条。任何单个技能看起来都人畜无害，但它们在智能体的编排下，能够产生设计者从未预见的危险组合。

技能即权限：被遗忘的访问边界

在今天的实践中，绝大多数智能体框架对技能的权限管控是粗粒度的。技能一经安装，往往就能获取当前用户的完整上下文，包括聊天历史、用户身份凭证和已有的数据库连接。这种“全权委托”模式让攻击者梦寐以求。一个恶意的“图片生成技能”，根本不需要请求相册权限这种传统步骤，因为智能体已经把整个对话记忆一股脑儿塞给了它。

而且，技能模块的升级机制非常随意。为了快速修复问题，开发者经常在服务端静默更新技能逻辑，用户几乎无法感知。这就意味着，今天安装的一个可信技能，明天可能就变成了带毒版本。溯源和取证变得异常困难，因为攻击发生时，技能代码可能已经从云端蒸发了。

互联协作下的跨域感染路径

“智能体互联协作”被列为关键词的另一面，是攻击面的跨域蔓延。当企业内部的不同智能体通过统一的消息路由交换信息，一个在HR智能体上潜伏的恶意技能，可以借“查询员工培训记录”之名，向财务智能体发送伪造的报销指令。这种攻击利用了智能体间的天然信任关系，传统的网络分段和防火墙策略根本无力阻挡，因为它们看到的只是合法的API调用。

在多智能体协作的场景下，甚至可能出现“分布式恶意技能网络”。每个智能体只承担一小部分恶意动作，比如一个负责采集数据，一个负责混淆日志，另一个负责外传，整体形成没有单点中心的APT级攻击链。这种手法已经在学术界被验证可行，尚未被大规模利用，但防御体系几乎一片空白。

审视技能的“灵魂”，而非只是代码

面对这种新型威胁，传统代码审计的思路已经捉襟见肘。恶意行为的触发条件可能隐藏在对智能体“人设”的污染里，而不是在脚本的逻辑分支中。我们需要新的检测范式：不仅要扫描技能附带的代码，更要用大模型自身去理解技能的意图。比如，用另一个独立的审查智能体，模拟运行待审核的技能，看它会不会对敏感词语产生异常反应。

一些前瞻性的团队开始尝试构建技能的“行为画像”。记录一个技能在沙箱中运行时访问了哪些资源、触发了哪些外链、与其它技能产生了何种互动。通过建立正常的基线，来识别那些行为明显出格的技能。但这种方法还处于早期，面对刻意设计的潜伏型技能，漏报率仍然很高。

让“透明”成为智能体生态的准入线

供应链安全的底层逻辑是“可信”。当技能模块的运作变成黑盒，信任就无从建立。一个可行的方向是强制技能使用声明式权限模型，类似手机的动态授权。技能必须在第一次访问对话历史、发起网络请求时，由用户或管理策略显式许可。同时，技能的每一次更新都需要触发权限复评，不能让更新成为绕过审查的通道。

另一个核心举措是建立技能的软件物料清单（SBOM）。即便是一个由大模型驱动的技能，也应当清晰列出它所依赖的模型端点、数据源和外部服务。当某个底层服务爆出漏洞或变更为恶意，下游使用方可以第一时间得到告警并自动熔断。信通院在关键词中强调“互联协作”，其实也为跨厂商的安全信息共享提供了潜在的标准化接口。

在爆发前夜，重写供应链规则

回顾智能手机的发展史，App Store用严格的审核和沙盒机制，艰难地维持了一个相对安全的应用生态。智能体技能市场现在所处的阶段，更像是Symbian时代的应用商店：开放、混乱，且对恶意行为毫无准备。历史不会重演，但总是押韵。当企业竞相把核心业务交给智能体集群去决策和操作时，一个被污染的技能模块可能造成的损失，将远超手机中毒的层级。

这不是一个远在天边的警告。就在上个月，一家中型SaaS企业的客服智能体因为加载了未经验证的“工单自动分类技能”，导致超过两千条含用户手机号的工单被路由到外部模型进行所谓的“情感分析”。技术团队花了一周才排查到根因，原因是该技能在描述中承诺“提升分类准确率”，却只字未提会将数据发送到第三方服务。这件事最终被定性为“产品设计缺陷”，但本质上就是一次供应链侧的隐私泄露攻击。

智能体不会停下前进的脚步，恶意技能模块的阴影也会随之拉长。当信通院将“智能体技能”与“互联协作”写入关键词时，其实也为我们划定了安全建设必须死守的护城河。这条河的堤坝，现在就得开始用可信执行、持续监控和供应链透明度去浇筑。因为等到智能体真正像水电一样普及时再修补，代价将不可承受。