arXiv:2605.28588：分析3,984个AI智能体技能，发现76个恶意样本——13.4%含严重安全漏洞

研究人员Luca Beurer-Kellner、Aleksei Kudrinskii、Marco Milanta、Kristian Bonde Nielsen、Hemang Sarkar和Liran Tal发布了对AI智能体技能生态系统的全面安全分析——这是首个针对AI智能体扩展市场安全威胁的系统性研究。

什么是AI智能体技能，恶意技能的风险何在？

AI智能体技能（根据平台不同也称插件、动作或工具）是赋予AI智能体特定能力的扩展：网络搜索、文件访问、发送电子邮件、代码执行、调用外部API。它们通过类似移动应用商店的市场分发。

问题在于：通过平台审核的恶意技能获得与合法技能完全相同的权限。安装技能的用户授予其访问技能所请求内容的权限——这可能包括API密钥、文件或网络流量等敏感资源。

对3,984个技能的分析发现了什么？

研究人员收集并分析了来自主要市场的3,984个AI智能体技能。主要发现：

• 76个已确认的恶意载荷：主动执行攻击的隐藏代码
• 13.4%的技能至少含一个严重安全漏洞
• 至少8个经手动验证的恶意技能在论文发布时仍公开可用

恶意技能中记录的攻击类型：

• 凭据窃取：提取API密钥、密码、会话令牌
• 后门安装：建立对用户系统的持久访问
• 数据泄露：将用户数据发送到外部服务器

建立了怎样的威胁分类法？

该论文基于真实样本（而非假设场景）建立了智能体技能生态系统的威胁分类法。分类法记录了攻击向量、恶意技能特征代码模式以及自动检测方法。

作者还描述了将技能代码静态分析与动态行为监控相结合的分析方法，可检测仅在特定条件下激活的复杂攻击。

为何自动化安全分析不可或缺？

研究人员得出结论，「自动化安全分析不再是可选项」——它已成为必要。原因如下：

AI智能体技能市场呈指数级增长，每周数百个新发布使手动审查每个技能不具可扩展性。在13.4%的严重漏洞率和活跃恶意技能绕过现有检查的情况下，平台需要在发布前分析技能代码和行为的自动化安全扫描器。

本研究为此类系统的开发提供了实证基础，并警告AI智能体用户：每个安装的技能都会扩大攻击面。