摘要
本研究分析了来自主要市场的 3984 个 AI Agent 技能,确认了 76 个恶意负载,包括凭证窃取、后门安装及数据泄露。研究发现,13.4% 的技能存在至少一个关键级安全问题,且截至发布日仍有至少 8 个经人工确认的恶意技能在 clawhub.ai 上公开可用。本报告记录了研究方法,基于真实样本提出了威胁分类法,并详细阐述了观察到的攻击模式。随着技能市场快速增长及 Agent 获取敏感凭证与系统权限,自动化安全分析已势在必行。
AI 推荐理由
论文聚焦 Agent 技能生态的安全威胁,核心对象为技能本身,虽侧重安全而非学习机制,但紧密相关。
研究机构
Snyk
论文信息