Toxic Flows: When Your AI Agent Skill Becomes a Supply Chain Attack
恶意软件、凭证盗窃和即时注入攻击如何针对 AI 代理技能生态系统 当开发人员安装 AI 代理技能(授予其访问受保护的 IT 资源和数据的权限)时,他们会做出几乎肯定不知道的重大信任决策。Snyk 最新的 ToxicSkills 研究(对代理技能生态系统的首次全面安全审计)研究了来自 ClawHub 和 Skills.sh 的 3,000 多种技能。研究发现,其中 36% 的技能存在安全缺陷,13% 的技能存在严重问题,包括凭证盗窃、后门安装和主动提示注入有效负载。此外,91% 已确认的恶意技能将传统恶意软件与快速注入结合到单个工件中。这不是理论上的风险,而是明显的现实 - 揭示了已经受到积极利
Toxic Flows: When Your AI Agent Skill Becomes a Supply Chain Attack
恶意软件、凭证盗窃和即时注入攻击如何针对 AI 代理技能生态系统 当开发人员安装 AI 代理技能(授予其访问受保护的 IT 资源和数据的权限)时,他们会做出几乎肯定不知道的重大信任决策。Snyk 最新的 ToxicSkills 研究(对代理技能生态系统的首次全面安全审计)研究了来自 ClawHub 和 Skills.sh 的 3,000 多种技能。研究发现,其中 36% 的技能存在安全缺陷,13% 的技能存在严重问题,包括凭证盗窃、后门安装和主动提示注入有效负载。此外,91% 已确认的恶意技能将传统恶意软件与快速注入结合到单个工件中。这不是理论上的风险,而是明显的现实 - 揭示了已经受到积极利
