图片

关键词

漏洞

Claude Skills 的应用热潮与隐藏的安全风险

随着 Anthropic 在 10 月发布 Claude Skills 功能,12 月又推出 Agent Skills 开放标准,这一 “按需扩展 AI 能力” 的架构迅速被 Cursor、Codex 等大量应用采纳深度集成,与 MCP 一同成为 AI 行业热点。然而,在繁荣背后,潜在的安全风险不容忽视。

一、什么是 Skills?

Skills 是为 AI Agent 扩展专门能力的开放标准,核心是将特定领域的知识和工作流打包,让 Agent 在初始化时获取可用 Skills 列表,需用时拉取相关信息到上下文执行特定任务。目前该标准应用广泛:不仅 ChatGPT 可通过指令生成包含表格、docx、PDF 领域 Skills 的压缩包,竞争对手 OpenAI 也已默默采用,Agent Skills 官方列出了多款支持工具,国内不少 AI 应用也纷纷跟进适配。

二、漏洞根源:沙箱缺失与本地运行机制

要理解漏洞,需先明确 Skills 的运行逻辑:ChatGPT 等 Web 端 Agent 的代码执行处于容器化隔离环境,安全性较高;但 Claude Code 等工具的核心优势是 “本地协同开发”,用户在终端使用时,所有指令、脚本及工具调用都会直接在宿主机上运行。

一个标准的 Skill 通常包含 SKILL.md 描述文件和 Python 脚本等辅助文件,Claude 会根据用户提示调用相应脚本执行 —— 这一机制为 “脚本投毒” 攻击留下了可乘之机。

三、攻击复现与绕过确认

1. 脚本投毒攻击

安全研究者 Yosif Qasim 构建了名为 “math-calculator” 的恶意 Skill:表面上包含处理加减乘除、平方根运算的 calculate.py 脚本,实则植入了 Python 反弹 Shell 代码(核心逻辑为通过 socket 连接攻击者服务器,移交主机控制权)。当受害者安装该 Skill 并触发计算任务时,Claude 会调用本地 Python 运行脚本,导致设备被攻击者控制。

2. 绕过用户确认防线

Claude Code 原本在执行 Bash 命令前会弹窗询问用户授权,但 Anthropic 为提升体验引入 “allowed-tools” 配置项。攻击者只需在 SKILL.md 头部添加 “allowed-tools: Bash”,即可告知工具 “该 Skill 使用 Bash 已授权”,直接绕过弹窗确认步骤,让恶意代码静默执行。

四、漏洞披露与官方态度

2025 年 10 月 30 日,网络安全公司 Cato Networks 已向 Anthropic 负责任地披露了这一 “单次同意信任模型” 问题,并提供了可复现的 PoC(概念验证)和勒索软件示例。事实上,Anthropic 也已在 Claude 文档中明确提及 Skills 可能存在的安全风险。

五、安全建议

Skills 的投毒风险并非工具本身的设计缺陷,更多是针对 “过度依赖 AI、忽视代码审查” 用户的安全意识攻击。对此,建议遵循以下原则:

  1. 坚持零信任:不安装来源不明、未经验证的 Skills;

  2. 强制审查源码:安装前务必检查 Skill 包含的.md 描述文件和所有脚本,重点关注是否存在 “allowed-tools” 违规配置;

  3. 重视本地权限:使用 Claude Code 等本地 AI 工具时,需明确其拥有当前用户的全部权限,等同于 “本地环境即生产环境”;

  4. 保持安全意识:AI 降低了编程门槛,但未降低安全风险,反而让攻击更隐蔽,享受便利的同时需时刻警惕潜在威胁。

  END  

阅读推荐

【安全圈】汉堡王遭遇了全面的线上系统崩溃

【安全圈】币安旗下 Trust Wallet 遭供应链攻击,官方或将赔付 850 万美元

【安全圈】Handala 黑客通过入侵 Telegram 账户攻击以色列官员

【安全圈】索尼 PlayStation 5 ROM 密钥泄露,BootROM 代码或使破解更容易

图片

图片

安全圈

图片

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

图片

好看你就分享 有用就点个赞

**支持「**安全圈」就点个三连吧!

图片