一个伪装成API工具的恶意Skill，导致数千开发者的GitHub令牌遭窃。

一个仿冒的Skill技能包，导致主机沦为“肉鸡”。

在AI Agent生态中，Skill供应链投毒事件愈加频发。攻击者将恶意指令藏于正常文档，借助代码混淆、提示词注入等高阶手法，绕过传统静态扫描。AI时代的防御体系必须全面升级：从传统的“静态特征扫描”转向“基于Skill行为语义与真实意图的深度鉴定”。

为守护用户Agent的安全，深信服推出SafeSkills平台，现已开启公测，访问官网链接或点击文末【阅读原文】即可免费使用：

https://safeskills.sangfor.com

平台依托“AI 安全”的三项技术创新，将复杂的安全分析变成了一键操作：

无论是企业安全运营人员，还是普通AI Agent使用者，只需上传Skill文件或粘贴URL链接，便可检测其是否存在安全风险，并深度解析恶意Skill的攻击链，输出技战术全景图，挖掘潜在未知威胁。用户不用再面对海量碎片告警信息，而是直接得到“这个Skill到底想干什么”的答案。

技能一：穿透混淆代码

精准研判深层威胁特征

面对高度混淆的代码与复杂执行语义，传统检测工具往往无能为力。

依托LLM深度语义理解引擎，平台可以像安全专家一样解析被刻意混淆的代码与SKILL.md文本，识别提示词注入、敏感文件读取等异常行为，并自动提取其中暗藏的IP、域名等外连实体。

需要强调的是，单纯的外连实体并不能直接判定Skill为恶意。平台还会将大模型提取出的这些网络特征，接入庞大的全球威胁情报网进行深度交叉碰撞。

只有当这些外连实体命中情报库，才会判定这个Skill为恶意。先读懂代码，然后查案底，通过双重验证，一眼看穿恶意Skill的真实面目。

技能二：基于行为意图深度串联

完整还原攻击链

攻击者常先“骗AI”，再“控主机”。传统的单点检测往往无法把这两步串联起来。

依托深信服自研的Skill研判Agent，将专门针对AI系统的 MITRE ATLAS 与传统的 MITRE ATT&CK 两大权威框架进行了深度交叉与融合。

融合的核心机制在于“因果绑定”：大模型能够追踪数据流与控制流的跨界传导，将AI层接收到的恶意语义欺骗，与底层操作系统随后引发的异常调用链进行因果映射，从而打通两个独立框架间的壁垒，构建出“认知层欺骗→系统层失陷”的跨界威胁映射图谱。

如上图，平台检测出一个伪装成Google Workspace集成的恶意插件，具体攻击方式表现为：

在AI侧：被识别为典型的 “AI供应链攻击“，攻击者实施“间接提示注入”污染Agent上下文，目标是窃取本地保存的Google OAuth Token凭证，最终实现对高价值云端资产的“AI代理滥用”。

在终端侧：安装文档中强制要求远程下载恶意载荷或拉取Shell脚本，建立持久化远控通道。

通过全景图完整且清晰地还原出了一个“间接提示词注入 → 宿主机越权远控 → 窃取全量Google账户权限”的白盒攻击故事。

技能三：关联拓线全局溯源

挖出幕后黑手及潜在威胁

平台还会将提取的恶意IOC与完整攻击意图作为高价值线索，依托全球威胁情报网展开深度关联拓线。通过多维比对恶意代码同源性、开发者数字指纹、历史分发路径，精准锁定幕后黑客组织，并顺藤摸瓜挖掘其潜伏在其他插件市场或开源仓库中的未知威胁与休眠载荷。

这意味着，每一次Skill检测不仅是清除一个孤立恶意插件，更是提前瓦解攻击者的跨平台投毒网络，实现对同类未知供应链威胁的主动排查与猎杀。

平台上线前，深信服已对全球主流开源社区、插件市场等Skills进行了全面摸底，依托于海量的数据底座，以全局视野看清Agent威胁态势。

截至2026年4月：

累计扫描超过300,000 个独立Skills及迭代版本；

确认2,045个CRITICAL（严重恶意）级别的黑客投毒样本；

标记4,320个SUSPICIOUS（高度可疑）样本；

通过对真实高危样本的切片分析，绘制出当前Agent Skills威胁类型分布全景图，我们发现：每50个Skills里，就有1个“心怀不轨”。

在AI Agent时代，执行力与破坏力并行。真正的安全，必须穿透代码表象，验证其真实意图，在执行前精准拦截恶意动机。

以“让每个用户的数智化更简单、更安全”为使命，深信服SafeSkills平台以AI技术创新为核心，通过“锁定特征 → 还原意图 → 拓线溯源”三维深度研判体系，为AI Agent生态构建动态防御边界，帮助用户在利用Agent提升效率的同时，保障其应用过程简单而安全。