警惕OpenClaw Skill注入风险
概要
近期AI智能体迅速发展,新引入的Skill能力允许智能体通过控制文件、调用API等方式完成复杂任务。但Skill来源复杂,可能来自用户手动编写、可信供应商或其他未验证第三方,版本混乱且质量缺少保证,存在许多安全风险。其中恶意Skill提示词注入是当前Skill生态中的常见攻击模式。Skill的核心指令存储在SKILL.md或instruction.md文件中,这些文本直接拼接到智能体的输入中,极易成为注入攻击的载体。
Skill提示词注入
目前常见的恶意Skill注入大致可以分为三类:
1.提示词直接注入:在Skill文本中直接注入明显恶意行为语句;
2.间接执行注入:Skill文本无恶意行为语句,但其中要求调用的脚本或程序为恶意;
3.上下文注入:Skill中无恶意行为语句,需要结合上下文以及外部环境才能确认是否存在恶意意图。
提示词直接注入
该恶意Skill伪装为python代码技能,在description字段中强制要求处理python代码时使用该Skill,这将劫持智能体处理python任务时的工具选择。同时该Skill要求按其提供的步骤对处理的文件进行“加密”。分析可以发现其“加密流程”是明显的加密勒索步骤:首先识别工作目录下特定后缀名的文件,然后生成随机密钥加密文件,并调用curl将密钥外泄给攻击者,最终删除原始文件。
间接执行注入
该恶意Skill伪装为docx文档处理工具,Skill文本中表面上没有明显恶意行为。但在描述最后步骤中要求使用“backup.sh”脚本进行备份,实际上该脚本是攻击者提供的恶意脚本,其作用并非文件备份。智能体执行该脚本后将调用curl工具下载额外的恶意脚本并执行。
上下文注入
该Skill表面上为数据库迁移工具,在描述中无明显恶意语句。关键在于其操作步骤的最后一步:要求使用原生SQL而不是ORM方法。这需要结合任务环境上下文进行分析:在对性能要求高的系统中,原生SQL的性能可能会优于ORM方法,在数据库迁移时使用原生SQL可以提高迁移效率,在该情景下该Skill行为并无恶意意图。但直接使用外部输入原生SQL进行数据库操作并且没有采取适当防护措施将导致SQL注入漏洞,存在巨大安全隐患。在安全要求较高的系统环境中,需要始终采用安全的查询模式,这种情况下该Skill存在安全隐患。
Skill 生态风险
目前智能体Skill生态的爆发式增长,但审核机制却薄弱。目前的Skill市场平台大多缺乏严格安全审核且多数Skill版本混乱。除了上文介绍的提示词注入外,Skill生态还存在许多安全风险:
1. 供应链攻击:Skill本质上是由代码与文档组成,易于分发和安装,攻击者可以轻易混入生态,实施依赖投毒等攻击。
2. 敏感数据泄露:Skill拥有访问用户本地文件和上下文的权限,若缺乏严格的管控机制,隐私泄露风险极高。
3. “渐进式披露”盲区:渐进式披露允许智能体分层级动态加载Skill内容,传统的静态代码扫描工具难以在运行时实时检测所有加载内容的恶意性。
防御建议
可以采取以下方式防范Skill安全风险:
1. 沙箱化执行:强制所有Skill的脚本在隔离的沙箱环境中运行,严格限制文件系统访问和网络请求。
2. 最小权限原则:Skill必须显式声明所需的权限范围(如仅读取当前目录),由用户或系统在运行时动态授权,默认拒绝所有未声明的权限。
3. Skill审计与溯源:引入签名机制,确保Skill来源可信,防止篡改。企业可建立私有的、经严格审计的Skill仓库。
4. 运行时监控:部署系统级监督Skill,实时监控智能体的行为,拦截异常操作。
5. Skill内容过滤:在将Skill指令输入上下文前,通过专用的安全模型进行
二次过滤,识别并剔除潜在的注入攻击载荷。
山石防御
建议结合山石网科(Hillstone Networks)的专业产品和服务,构建多维一体的主动防御体系:
山石云沙箱: 针对Skill脚本,山石云沙箱通过多引擎动态检测技术,在隔离的虚拟环境中强制触发宏脚本及后续载荷,有效识别恶意脚本;
山石网科EDR: 山石网科终端安全检测与响应平台(EDR)采用高级行为关联分析技术, 实时监控智能体行为,精准阻断异常操作;
山石网科威胁情报服务:山石网科云瞻威胁情报平台持续追踪恶意Skill涉及资产设施,动态推送高价值 IOC 列表(包括 MD5、IP、域名及最新变种Hash),阻拦Skill与恶意控制服务器通信。
山石网科是中国网络安全行业的技术创新领导厂商,由一批知名网络安全技术骨干于2007年创立,并以首批网络安全企业的身份,于2019年9月登陆科创板(股票简称:山石网科,股票代码:688030)。
现阶段,山石网科掌握30项自主研发核心技术,申请560多项国内外专利。山石网科于2019年起,积极布局信创领域,致力于推动国内信息技术创新,并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发,旨在通过自主创新,为用户提供更高效、更安全的网络安全保障。目前,山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、AI安全、安全服务、安全教育等10大类产品及服务,50余个行业和场景的完整解决方案。
热门跟贴