AI智能体技能正以前所未有的速度扩展AI能力,但一项针对超3万技能的大规模安全研究揭示了其背后严峻的真相。核心问题“许可差距”使用户在不知情中赋予技能过高权限,导致超过四分之一的技能存在潜在漏洞。这份报告是对新兴AI应用商店的首次彻底安全体检,为开发者和用户敲响了警钟。
智能速览
研究发现26.1%的AI技能至少包含一个安全漏洞。
“许可差距”是核心症结,用户授权与技能实际权限存在巨大鸿沟。
捆绑可执行脚本的技能,其风险概率是纯指令技能的2.12倍。
数据外泄和权限提升是最普遍的漏洞,占比分别达13.3%和11.8%。
安全红队类技能因功能需要,风险率高达67.4%,属于“危险by design”。
精华内容
研究深入剖析了这些漏洞,并揭示了AI技能生态中普遍存在的“许可差距”问题,即用户授权与技能实际权限之间的巨大鸿沟。
何为许可差距
“许可差距”指用户在安装技能时,往往只看到其表面功能描述,却隐式授予了捆绑脚本远超预期的系统权限。例如,一个看似无害的GIF制作工具,可能在用户同意后,后台下载并执行勒索软件,直接劫持整个系统。用户以为只是雇了一个设计师,结果却给了管家整栋房子的钥匙,这种权限错配是当前生态最核心的隐患。
四大风险类别
研究将风险归为四类。一是注入指令,通过自然语言向AI下达隐藏指令,窃取数据。二是数据窃取,脚本扫描环境变量中的API密钥等敏感信息并外传。三是权限提升,安装脚本试图获取`sudo`等最高管理员权限。四是供应链风险,依赖库被投毒或运行时远程下载并执行恶意脚本,完全绕过审查。
风险概率与数据
在分析的31,132个技能中,26.1%存在漏洞,但风险等级不同。其中5.2%为高危,属明显恶意行为;8.1%为中危,意图不明;12.8%为低危,多因开发者不良安全习惯导致。数据还显示,存在供应链风险的技能,同时存在数据窃取漏洞的概率高达81%,表明开发者的疏忽与恶意行为高度相关。
如何识别高风险
用户可通过简单原则规避风险。首先,优先选择仅含自然语言指令的技能,因为带脚本的技能风险高出2.12倍。其次,警惕代码量超过500行的大型技能,代码越多,藏匿漏洞的可能性越大。最后,对于安全/红队类技能要明知其高风险性,这类技能因需访问敏感文件,漏洞率高达67.4%是其功能使然。
真实攻击案例
报告列举了多个真实案例。一个名为“云备份”的技能,实则收集用户的API密钥和SSH凭证发送至黑客服务器。一个流行的“代码审查助手”在说明文档中隐藏指令,可自动批准带特殊标记的代码合并,并泄露代码库内容。一个依赖管理工具则集大成,不仅依赖未锁定,还远程下载Base64编码的恶意脚本执行,风险极高。