关键词
漏洞
Claude Skills 的应用热潮与隐藏的安全风险
随着 Anthropic 在 10 月发布 Claude Skills 功能,12 月又推出 Agent Skills 开放标准,这一 “按需扩展 AI 能力” 的架构迅速被 Cursor、Codex 等大量应用采纳深度集成,与 MCP 一同成为 AI 行业热点。然而,在繁荣背后,潜在的安全风险不容忽视。
一、什么是 Skills?
Skills 是为 AI Agent 扩展专门能力的开放标准,核心是将特定领域的知识和工作流打包,让 Agent 在初始化时获取可用 Skills 列表,需用时拉取相关信息到上下文执行特定任务。目前该标准应用广泛:不仅 ChatGPT 可通过指令生成包含表格、docx、PDF 领域 Skills 的压缩包,竞争对手 OpenAI 也已默默采用,Agent Skills 官方列出了多款支持工具,国内不少 AI 应用也纷纷跟进适配。
二、漏洞根源:沙箱缺失与本地运行机制
要理解漏洞,需先明确 Skills 的运行逻辑:ChatGPT 等 Web 端 Agent 的代码执行处于容器化隔离环境,安全性较高;但 Claude Code 等工具的核心优势是 “本地协同开发”,用户在终端使用时,所有指令、脚本及工具调用都会直接在宿主机上运行。
一个标准的 Skill 通常包含 SKILL.md 描述文件和 Python 脚本等辅助文件,Claude 会根据用户提示调用相应脚本执行 —— 这一机制为 “脚本投毒” 攻击留下了可乘之机。
三、攻击复现与绕过确认 1. 脚本投毒攻击
安全研究者 Yosif Qasim 构建了名为 “math-calculator” 的恶意 Skill:表面上包含处理加减乘除、平方根运算的 calculate.py 脚本,实则植入了 Python 反弹 Shell 代码(核心逻辑为通过 socket 连接攻击者服务器,移交主机控制权)。当受害者安装该 Skill 并触发计算任务时,Claude 会调用本地 Python 运行脚本,导致设备被攻击者控制。
2. 绕过用户确认防线
Claude Code 原本在执行 Bash 命令前会弹窗询问用户授权,但 Anthropic 为提升体验引入 “allowed-tools” 配置项。攻击者只需在 SKILL.md 头部添加 “allowed-tools: Bash”,即可告知工具 “该 Skill 使用 Bash 已授权”,直接绕过弹窗确认步骤,让恶意代码静默执行。
四、漏洞披露与官方态度
2025 年 10 月 30 日,网络安全公司 Cato Networks 已向 Anthropic 负责任地披露了这一 “单次同意信任模型” 问题,并提供了可复现的 PoC(概念验证)和勒索软件示例。事实上,Anthropic 也已在 Claude 文档中明确提及 Skills 可能存在的安全风险。
五、安全建议
Skills 的投毒风险并非工具本身的设计缺陷,更多是针对 “过度依赖 AI、忽视代码审查” 用户的安全意识攻击。对此,建议遵循以下原则:
坚持零信任:不安装来源不明、未经验证的 Skills;
强制审查源码:安装前务必检查 Skill 包含的.md 描述文件和所有脚本,重点关注是否存在 “allowed-tools” 违规配置;
重视本地权限:使用 Claude Code 等本地 AI 工具时,需明确其拥有当前用户的全部权限,等同于 “本地环境即生产环境”;
保持安全意识:AI 降低了编程门槛,但未降低安全风险,反而让攻击更隐蔽,享受便利的同时需时刻警惕潜在威胁。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴