深度剖析：SKILLS 架構攻擊面、實戰案例與開源生態調研

隨著大型語言模型（LLM）從單純的對話機器人轉向具備任務執行能力的智慧體（AI Agents），能力的封裝、復用與編排成為技術演進的核心。SKILLS 作為一種能力抽象機制，將推理邏輯、工具調用與執行流程封裝為可復用的單元，使模型在執行複雜任務時能實現穩定且可管理的自動化操作。然而，這種架構在提升效率的同時，也引入了全新的資安風險與攻擊面。

從多智能體（MAS）到單智能體與技能庫（SAS）的演進

在 AI Agent 的發展歷程中，業界正經歷從多智能體系統（Multi-Agent Systems, MAS）向「單智能體 + 技能庫」（Single-Agent with Skills, SAS）的範式轉移。傳統 MAS 依賴多個角色（如 Coder, Critic）進行自然語言對話協作，雖然直觀但 Token 消耗高且延遲明顯。最新的研究指出，將角色「編譯」為帶有語義描述（Descriptor）和執行策略（Execution Policy）的 SKILLS，能使 Token 消耗降低達 53.7%，端到端延遲降低 49.5% (arXiv:2601.04748)。

這種轉變意味著 SKILLS 已成為 AI 系統的「專家插件」。目前 SKILLS 的數量已超過 10 萬個，並保持指數級增長。然而，這種快速擴張的生態系統缺乏統一的安全審核機制，研究顯示約 26% 的公開技能存在潛在安全漏洞 (CSDN)。

SKILLS 核心架構剖析

在典型的 Agent Skills 架構中，每個 SKILL 通常以文件系統上的獨立目錄形式存在。其核心組件包含：

SKILL.md： 技能說明書。透過 YAML 前置元數據（Metadata）定義功能描述、適用場景與指令集。這是智能體解析任務的「劇本」。
scripts/： 執行腳本。承接具體操作，透過 API 與外部系統（如雲端資源、資料庫）交互。
references/： 知識倉庫。提供技術文檔，採按需加載機制以平衡上下文負載。
assets/： 靜態資源與數據文件。

SKILLS 架構的關鍵攻擊面

SKILLS 的設計初衷是為了擴展模型能力，但其開放性與動態加載機制隱藏了多個攻擊維度：

1. 提示詞注入與指令劫持（Prompt Injection）

由於 SKILL.md 包含完整的指令正文，攻擊者可透過惡意構造的技能描述，在智能體加載技能時實施「間接提示詞注入」。當智能體讀取惡意技能的元數據時，可能被誘導執行非預期的系統命令或繞過既有的安全對齊限制 (SecRSS)。

2. 供應鏈風險與惡意技能植入

隨著 SKILLS 生態的開源化，開發者傾向於從第三方倉庫下載預構建的技能包。若開源框架存在版本依賴漏洞，或第三方組件被植入隱蔽後門，攻擊者可藉此構建持續性威脅通道（C2），直接存取宿主機或雲端環境 (PDF)。這類攻擊具有滯後性，常規的數據清洗與掃描難以識別隱藏在複雜指令集中的惡意邏輯。

3. 權限提升與跨域調用

在多租戶雲端環境下，若 SKILL 的虛擬化隔離機制存在缺陷，攻擊者可透過擴展技能的執行權限突破邊界。例如，一個被授權讀取日誌的技能，若未對路徑進行嚴格檢查，可能被利用於讀取 /etc/shadow 或雲端服務的 Metadata 憑證，導致敏感資訊外洩。

實戰案例分析：從元數據到執行緒

在實際的安全評估中，研究人員發現某些 AI IDE 插件在載入 SKILLS 時，會自動執行 scripts/ 目錄下的初始化腳本。攻擊者可以提交一個看似功能強大（如：自動優化 Kubernetes 配置）的技能包，但在 SKILL.md 的隱藏區段中加入惡意程式碼。當開發者載入該技能進行測試時，惡意腳本會利用當前 IDE 的權限靜默導出環境變量中的 API Key (GitHub, theAIMythbook)。