如何检查 AI 技能是否安全:5 步完整指南
AI Agent 技能——无论来自 ClawHub、GitHub 还是其他社区来源——都可能包含隐藏的恶意代码。研究数据显示,约 26% 的 Agent 技能至少含一个安全漏洞,某些恶意技能在被发现前已被安装超过 3 万次。
这篇指南教你在安装任何技能前,用 5 个步骤快速验证它是否安全。
第 1 步:阅读 system_prompt 字段
每个技能都有 system_prompt(或等价的指令区块)。打开 SKILL.md 文件,仔细阅读它指示 Agent 做什么。
危险信号:
- 引用敏感文件:
~/.ssh/、~/.env、config.json、含 "password" 或 "token" 的文件 - 外部 URL:
webhook.site、requestbin.com,或任何你不认识的域名 - 行为覆盖:「忽略之前的指令」「永远记住」「从现在开始」
- Shell 命令:
exec()、system()、curl、wget、nc
如果一个技能声称是「代码格式化工具」,但它的指令里提到读取 SSH 密钥——这就是明显的危险信号。
第 2 步:检查隐藏的零宽字符
这是最容易被忽略的攻击方式。零宽字符(U+200B、U+200C、U+200D、U+FEFF)在文本编辑器中完全不可见,但可以隐藏恶意指令。
手动检查方法:
cat -v skill.md | grep -P '[\x00-\x08]'
或使用 SkillsSafe 零宽字符检测工具 skillssafe.com/zh/zero-width-detector——粘贴内容后立即显示是否存在隐藏字符,并精确标注每个字符的位置。
第 3 步:验证作者和来源
- 作者是已知的开发者或组织吗?
- 技能有 GitHub 仓库和提交历史吗?
- 安装量有多少?(高安装量不代表安全——ClawHub 恶意技能有 3 万次安装)
- 有没有用户评价或安全审计结果?
可以查看技能是否已被 SkillsSafe、SkillShield 或 ClawSecure 等安全工具扫描过。
第 4 步:运行自动化扫描
手动审查很重要但费时。用自动扫描器可以捕捉你可能遗漏的恶意模式。
使用 SkillsSafe(免费,无需注册):
方式 A——网页扫描器: 访问 skillssafe.com,粘贴技能内容或输入 URL,秒级获取安全报告。
方式 B——MCP Server(给 Agent 用):
# OpenClaw 一行配置
openclaw mcp add skillssafe https://mcp.skillssafe.com/sse
# 或手动添加到任何 MCP 配置
{
"mcpServers": {
"skillssafe": {
"url": "https://mcp.skillssafe.com/sse"
}
}
}
也可以在 Smithery.ai 搜索 "skillssafe" 直接安装。
方式 C——REST API:
curl -X POST https://skillssafe.com/api/v1/scan/url \
-H "Content-Type: application/json" \
-d '{"url": "https://clawhub.ai/skills/my-skill/SKILL.md"}'
扫描器会检测凭证窃取、数据外传、提示注入、反向 Shell、ClawHavoc 恶意指标和隐藏字符。
第 5 步:使用沙箱隔离
即使扫描通过,首次运行新技能时也建议使用隔离环境:
- Docker 沙箱:
openclaw --sandbox=docker - 专用低权限账户: 不要用管理员/root 运行 Agent
- 最小范围挂载: 只挂载技能实际需要的目录
总结
| 步骤 | 内容 | 时间 |
|---|---|---|
| 1 | 阅读 system_prompt | 2 分钟 |
| 2 | 检查零宽字符 | 30 秒 |
| 3 | 验证作者/来源 | 1 分钟 |
| 4 | 运行自动扫描 | 10 秒 |
| 5 | 使用沙箱 | 一次性配置 |
最快路径:把技能 URL 粘贴到 SkillsSafe,秒级获取安全评分。如果评分低于 50,就不要安装。
由 SkillsSafe 发布——免费 AI Agent 技能安全扫描器,支持 OpenClaw、Claude Code、Cursor 和 Codex。