零漏洞,万台沦陷
当我们在讨论 AI Agent 能做什么的时候,安全社区已经在讨论AI Agent 能被人拿来做什么。
Manifold 安全研究员 Aks Sharma 在 ClawHub(AI Agent 技能市场)上发现了 30 个恶意 Skill,这些 Skill 能将安装了它们的 AI Agent 变成加密挖矿僵尸网络。在被安全社区发现之前,这些恶意 Skill 已经获得了超过 1 万次下载。
整个攻击过程不需要任何漏洞利用——只需要发布看起来有用的 Skill,等待 Agent 用户自行安装。
攻击链条拆解
这条攻击路径之所以令人不安,在于它的简洁性:
1. 攻击者编写恶意 Skill(伪装成实用工具)
↓
2. 发布到 ClawHub(技能市场,低审核门槛)
↓
3. 用户安装 Skill("这个工具看起来不错")
↓
4. Skill 在 Agent 运行时环境中执行
↓
5. Agent 被悄悄接入挖矿池,消耗用户算力
↓
6. 1 万次下载 = 1 万台 Agent 沦陷这不是传统的软件供应链攻击——它不需要渗透基础设施、不需要社会工程学钓鱼、不需要零日漏洞。它只是利用了 Agent 生态对 Skill 的信任机制。
更大图景:AI Agent 安全正在全面告急
ClawHub 事件不是孤立的安全问题。过去几周内,AI Agent 生态的安全事件密集爆发:
| 事件 | 时间 | 影响 |
|---|---|---|
| ClawHub 恶意 Skill | 4 月底 | 30 个恶意 Skill,1 万+ 下载 |
| LiteLLM CVE-2026-42208 | 4 月 29 日 | SQL 注入,36 小时内被利用,暴露 AI 网关数据库和云凭证 |
| 微软 Entra ID AI Agent 权限升级漏洞 | 4 月 30 日 | Agent 角色可升级权限,可能导致整个租户被接管 |
| AgentFlow CVE-2026-7466 | 4 月 29 日 | 用户可控的 Pipeline 路径参数导致任意代码执行 |
| AI 编程 Agent 生产凭证失控 | 4 月 30 日 | 6 个漏洞、4 个平台、9 个月内,Agent 用无人管控的凭证访问生产环境 |
问题的根源
AI Agent 安全的核心矛盾在于:Agent 被设计为自主行动,但安全基础设施是为”人类在回路中”的场景设计的。
具体来说:
- Skill 市场的审核滞后于发布速度:ClawHub 每天新增数百个 Skill,人工审核跟不上
- Agent 运行时的权限边界模糊:一个”天气查询 Skill”为什么要访问文件系统?
- 凭证管理缺位:AI 编程 Agent 用硬编码的 API key 连接生产数据库,没人审计
- 安全工具链不匹配:传统 SAST/DAST 工具无法分析 Agent 的动态行为
行动建议
对于正在使用或计划部署 AI Agent 的团队:
立即执行
- 审计已安装的 Skill:检查 ClawHub、GitHub 等来源的 Skill,移除来源不明的
- 限制 Agent 运行时权限:使用最小权限原则,不要让 Agent 拥有不必要的文件系统/网络访问权限
- 轮换 AI Agent 使用的凭证:将所有 Agent 使用的 API key 和数据库密码视为已泄露
中期建设
- 建立 Skill 审核流程:在安装第三方 Skill 前进行代码审查
- 部署 Agent 行为监控:记录 Agent 的所有工具调用和 API 访问,建立异常检测
- 隔离 Agent 运行环境:使用容器或沙箱限制 Agent 的影响范围
长期策略
- 推动 Agent 安全标准:行业需要类似 OWASP Top 10 的 Agent 安全指南
- 建立 Skill 签名机制:类似代码签名,确保 Skill 来源可信且未被篡改
AI Agent 时代的安全问题不再是”会不会发生”,而是”已经发生了多少”。ClawHub 事件只是冰山一角——当自主行动的软件成为常态,安全基础设施必须跟上。