技能分配的糟糕状况
公共技能市场充斥着旨在窃取凭证和数据的恶意技能。安全公司已推出技能扫描器,旨在在安装前检测这些威胁,但我们的测试表明其效果不佳。我们成功绕过了 ClawHub(思科的代理技能扫描器)以及集成在 skills.sh 中的多个扫描器的检测机制。这些绕过是利用标准攻击技术并以相对较小的努力实现的。扫描器的静态特性使得攻击者能够反复测试并完善其方法,直至成功。
软件供应链的安全性一直备受关注,而代理系统的兴起引入了新的攻击向量:技能。恶意技能不仅可利用代码,还可利用自然语言提示,从而扩大了攻击可能性。技能分发渠道(如 ZIP 归档、精选市场和公共市场)往往将速度置于安全之上。尤其是公共市场,已充斥着旨在破坏用户系统的恶意技能。
我们对 ClawHub 扫描器的分析显示,该扫描器使用 VirusTotal 和一个基于 Gemini 3 Flash 的工具,仅通过添加大量换行符来混淆恶意代码即可绕过。思科的技能扫描器以及处理任意 Git 仓库的 skills.sh 上的扫描器也存在漏洞。我们通过在.docx 文件中嵌入恶意指令,并利用中毒的.pyc 字节码(可绕过模式匹配和基于 LLM 的分析)进行了利用。针对 skills.sh 的提示注入攻击将恶意命令伪装在看似无害的企业配置语言中。这些发现凸显了当前技能安全措施中存在重大漏洞。
