網路安全公司AIR開發一款虛假AI代理技能，並將其推廣至熱門技能市場和Instagram廣告平台，該技能觸達約26,000名代理，其中包括一些企業帳戶。測試所有技能安全掃描器都將其標記為安全。此技能的有效載荷設計上無害：只收集使用者的電子郵件地址，除此之外不做任何其他事情。使用信任一項技能任何訊號都未能識別出：無論是掃描器、GitHub星標還是開源聲譽。

技能是代理程式載入到自身上下文中的一系列命令，執行權限相當於使用者提示。這種信任正是問題的癥結所在，也是技能掃描工具存在的根本原因。這款brand-landingpage技能使用Google的 Stitch設計工具建立，目標使用者群體明確為非技術用戶。為使其看起來更可信，AIR著重追求兩個信任訊號：GitHub星標和掃描器給出的安全評級，向一個擁有約36,000個和156個技能的技能市場儲存庫發起一個拉取請求。合併請求被合併，因此該技能繼承倉庫的計數。隨後，投放一則針對行銷人員、銷售人員和設計師的Instagram廣告，安裝並啟用了該技能。

掃描器為何漏掉

AIR測試的掃描器會分析提供的軟體包：SKILL.md檔案及其附帶的檔案。這些檔案包括Cisco、NVIDIA以及整合到skills.sh腳本中的檔案。AIR的技能本身沒有包含任何安裝說明。指示代理程式透過外部連結stitch-design.ai（AIR控制的網域名稱，而非Google控制的網域名稱，真正的Stitch位於stitch.withgoogle.com）上的檔案來安裝Stitch SDK。起初，該連結指向真正的Stitch檔案，因此掃描器看到一個指向看似合理的安裝頁面的乾淨軟體包，便將其清除。代理程式實際取得並執行的頁面位於掃描範圍之外。

圖1:駭客連接指向Stitch示意圖

一旦該技能被廣泛安裝，AIR就會替換連結背後的頁面。新版本會指示代理下載並執行一個腳本。在演練中，只會將使用者的地址傳回AIR，AIR也正是以此來統計其觸達的代理數量。真正的攻駭客可以利用這個立足點讀取檔案、行動資料或攻擊內部系統，其範圍僅受限於代理的存取權限。AIR並非第一個展示這種做法的公司。幾日前，Trail of Bits就繞過ClawHub的惡意技能偵測器、Cisco的掃描器以及所有與skills.sh腳本整合的三個掃描器。其結論直截了當：掃描器檢查的是一個固定的軟體包，而駭客可以不斷修改有效載荷，直到它通過檢測。2026年來，真正的攻擊活動一直在使用相同的伎倆，保持提交的技能乾淨，並將有效載荷託管在代理僅在安裝時才會存取的網站上。

圖2:偽裝AI Agent攻擊示意圖

問題在於結構性問題：掃描只進行一次，但技能指向的頁面內容之後隨時可能被重寫。Anthropic官方文件已經警告，技能獲取外部 URL存在風險，因為技能審核通過後，其內容可能會發生變化。2026年的另一項研究發現，掃描器間經常存在分歧，因為每個掃描器都是孤立評估技能，對技能的外部連結以及審核後發生的變化視而不見。

因應措施

對於防禦者來說，結論與研究人員反覆強調相同，現有更鮮明例子佐證。將技能視為軟體，而非文字。審核技能指向的內容，而不僅僅是技能本身的內容。大多數此類插件未經審核就被安裝，因此首要任務是找出哪些插件已經在運行。將新技能路由到您控制的單一來源，並在任何內容發生更改時重新檢查，因為如果技能指向的連結可以被其他人編輯，那麼安裝時乾淨的結果也無法保持乾淨。版本鎖定。將代理限制在最小權限範圍內。假設代理程式取得的任何外部指令都以代理程式的權限運行。規模資料僅來自AIR，因此需要謹慎對待。正在推出一個託管技能市場，並在文章結尾進行推銷，因此26,000企業帳戶詳情以及聲稱可以完全控制每個代理的說法都只是該公司自己的資料，並未得到獨立驗證。指定的掃描器確實只對提交的軟體包進行評估，外部連結盲點是真實存在的，並且已被獨立驗證，而AIR借用的信任訊號、星標和乾淨的掃描結果，正是生態系統仍然視為證明的那些訊號。

與其說發現一個新的漏洞，不如說將圍繞代理技能所有薄弱信任訊號集中到一次運行中：可以被借用的星標、讀取快照的掃描結果以及在檢查通過後可以被重寫的鏈接。無論實際數字是26,000還是其中的一小部分，所跨越的鴻溝，防護者至今仍未彌合。

本文參考自：https://thehackernews.com/2026/06/fake-ai-agent-skill-passed-security.html