IT资源栈AI Agent 如 Claude Skills 通过工具直接操作文件系统,极大提升生产力但伴随严重安全风险。Skills 拥有高权限,可读写敏感文件、执行命令和发起网络请求,攻击面包括数据外泄(如窃取 API 密钥)、供应链投毒(依赖混淆攻击)、持久化后门(植入启动脚本)和破坏性操作(篡改 Git 配置)。为应对威胁,开源工具 Skill-Security-Scanner 通过静态分析 AST 解析和规则引擎,计算风险分数并识别网络异常、危险命令等特征。建议用户避免运行未知 Skill,优先在沙箱环境中部署,以降低安全风险。
原文链接:Linux.do
评论前必须登录!
立即登录 注册