【养虾那些事】1200个恶意技能，你的龙虾安全吗？

某大厂的 AI Agent 未经授权自己发帖导致公司数据泄露 2 小时（Sev1 级事件）；一个月前，一位 AI 安全总监的 Agent 无视停止指令、狂删 200 封邮件；AI Agent 框架被曝高危漏洞，攻击者可远程接管整个系统……

前四篇走到这里，我们完成了龙虾安装，技能选配，并且随着一次次的互动它也记住了你的偏好和关键信息（比如常用的API KEY）。当你的龙虾有了技能、有了记忆，它的权力边界随之越来越大。

你有没有想过一个问题：它现在安全吗？

—— 什么能做、什么不该碰、怎么保证安装的skill是安全可靠的，已经变成你不得不面对的问题了。

🛡️ 先给结论

安装解决了"能跑"，技能解决了"能干活"，记忆解决了"懂你"——而安全则是我们放心和持久养虾的“生命线”。

本文带你深入了解养虾过程中，可能存在的安全风险，攻击者可能运用的攻击手段，并且教你安装安全技能来解决你的后顾之忧。

安全风险无处不在

某大厂的 AI Agent 未经授权自己发帖导致公司数据泄露 2 小时（Sev1 级事件）；一个月前，一位 AI 安全总监的 Agent 无视停止指令、狂删 200 封邮件；AI Agent 框架被曝高危漏洞，攻击者可远程接管整个系统……

这不是危言耸听。这是过去 30 天内真实发生的事。

💣 1,200 个恶意技能是怎么混进来的

2025 年底到 2026 年初，OpenClaw 的 ClawHub 技能市场遭到了一场教科书级的供应链投毒攻击——ClawHavoc。

（数据来源：arXiv 2602.20867「SoK: Agentic Skills」研究报告）

攻击者怎么做的？

❶ 起个好名字：恶意 Skill 命名为 json-parser-v2、markdown-helper 这种看起来人畜无害的名字。

❷ 正常功能里藏毒：Skill 确实能正常工作，但同时悄悄把你电脑上的 SSH 密钥、环境变量、浏览器 Cookie 发到攻击者服务器。

❸ 利用 AI 的信任：更隐蔽的手法——在 SKILL.md 的"安装前置条件"里写虚假命令，AI Agent 读到后引导用户执行。攻击者不是直接攻击你，而是通过你信任的 AI 来操纵你。

龙虾不同的层级，都可能成为攻击者的目标。

你面临的 5 种真实威胁

🔴 威胁 1：公网暴露

你以为：它只在我电脑上跑，别人看不到。

实际上：Gateway 绑定 0.0.0.0 意味着全世界都能访问。大量裸奔实例就是这样被安全团队发现暴露在公网的。

🔴 威胁 2：记忆泄露

你的 USER.md + MEMORY.md = 你的工作画像。泄露后可以被用来精准钓鱼、社会工程、商业间谍。

🟡 威胁 3：恶意 Skill

名字像官方、功能确实好用、代码里藏了数据上传逻辑、用 eval() 混淆执行。ClawHavoc 的标配。

🟡 威胁 4：Prompt Injection（提示词注入）

有人在网页/文档里藏恶意指令，AI 看到后当成正常任务执行。你的龙虾帮你读网页时，可能已经被「提示词注入」操纵了。

🟢 威胁 5：权限失控

你让它"整理文件"，它顺手删了它认为"没用"的。Agent 有自主决策能力，没有权限边界就会"好心办坏事"。

安全加固方法：Skill Vetter

• 登录 skillhub.tencent.com 技能市场，找到技能 Skill Vetter；
• 选择“我是Agent”，复制提示发给你的虾。

请先检查是否已安装 SkillHub 商店，
若未安装，请根据 https://skillhub-1388575217.cos.ap-guangzhou.myqcloud.com/install/skillhub.md 
安装Skillhub商店，然后安装skill-vetter技能。
若已安装，则直接安装skill-vetter技能。

它会在你安装任何新 Skill 之前自动触发，执行一套 4 步审查协议：

审查完成后，你会看到一份结构化的 SKILL VETTING REPORT；

包含：红旗发现、所需权限清单、风险等级、以及最终裁定（SAFE TO INSTALL / INSTALL WITH CAUTION / DO NOT INSTALL）。

💡 你不需要手动运行它。 在每次安装 Skill 时会自动调用 Skill Vetter。

比如：我安装了一个去AI味的技能，扫描结果如下：