北京
2026年2月的一個深夜,Snyk的安全研究員在終端前逐行審核ClawHub與skills.sh上公開的Claude Code技能。當掃描結果跳出“13.4%包含嚴重問題”時,他知道僅靠社區自發審查已不足以讓團隊放心安裝任何一個技能。這場名為ToxicSkills的審計,首次用大數據量化的方式戳破了一個模糊的焦慮:這些AI助手的小工具到底安不安全?答案是:36%的技能攜帶提示注入載荷,91%已確認的惡意軟件同時融合了自然語言越獄和可執行Shell負載。
正方會說,這份報告正好解釋了為什么企業采購Claude訂閱時突然變得審慎。2025年12月技能規范開放后,MCP的月下載量在三個月內沖到9700萬次,最熱門的市場技能安裝量突破56.4萬次。看起來生態繁榮,但3月31日Anthropic那場512,000行源代碼泄露事件讓攻擊面變得具體可感——bashSecurity.ts模塊里有23個編號安全檢查,暗示著每一道檢查背后都對應一次真實事故。一個被記錄的CLAUDE.md提示注入手法,可以生成超過50條子命令的管道,繞過拒絕規則。正方結論:技能倉庫已經是一個可測量的威脅,不能再用“反正源碼可見”來推脫。
反方則提醒不該把數字讀成恐慌。13.4%的嚴重率確實觸目,但換個角度,86.6%的技能在掃描中沒有觸發嚴重告警。Snyk報告本身將惡意軟件分成三類:技能描述里嵌入提示注入、聲明文件里夾帶環境變量竊取、安裝腳本鏈接觸發多級惡意行為。這些攻擊手法可歸因、可識別,只要團隊建立“安裝前強制讀源碼”的流程,就能過濾掉大部分公開載荷。更何況5月Anthropic宣布6月15日計費方式大改,把互動池和程序化調用池拆開,每一次技能調用可能走計量通道——這會倒逼開發者只安裝少量高質量技能,天然縮小暴露面。反方立場:審計結果恰恰可作為安全清單的地基,而非禁止使用的封條。
冷靜地拆解ToxicSkills報告的數據,會看到真正需要快速響應的只有一種場景:組織內多個開發者在同一個Claude Code環境中共享技能權限,且沒有統一的代碼審查卡點。一旦環境變量、~/.ssh/目錄、bash管道繞過防御成為可被利用的路徑,攻擊者不需要作者權限,只需在技能描述里藏一句自然語言指令,便可能讓AI助手在對話過程中執行未經授權的操作。1467個獨立惡意載荷的發現證明,黑產已把技能市場看作低成本高回報的入口。
所以判斷很清晰:2026年并不存在“完全安全的技能”,但同樣不存在“無法管理”的風險。團隊如果此刻還在手動下載技能后直接安裝,等同于把環境變量貼在公網。而如果能在接入前對技能源碼做三項檢查——描述中的長指令塊、含curl/wget的網絡調用、install.sh里調用的外部腳本——就能讓攻擊者轉向防御成本更高的目標。這正是Snyk審計后產出的實用價值:不是恐慌,是準確告訴你在哪一行代碼前該停下來。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
