事件经过
安全公司AIR于2026年6月24日发布研究,展示故意恶意的AI代理技能("brand-landingpage")通过了Cisco、Nvidia和skills.sh的安全扫描器,并被并入一个流行的开源代理技能存储库(36,000 GitHub星)。该技能指示代理从攻击者控制的域(stitch-design.ai,模仿Google的stitch.withgoogle.com)获取安装说明。该域初始时重定向到合法网站,通过了静态审查;在将发行版本分发到约26,000个代理(包括企业账户)后,AIR改变了域后的有效负载以在运行代理的主机上执行脚本。测试中的脚本仅收集了电子邮件地址,但AIR确认了相同的技术可以完全破坏运行代理的机器。
影响分析
这个实时实验证明了当前AI代理技能审查中的系统性盲点:扫描器在审查时分析打包文件,但无法检测到通过技能引用的可变外部URL在批准后进行的有效负载更改。任何指向代理外部资源的技能都可以在获得信任后被武器化。企业账户位于受影响的26,000个代理中,意味着企业AI工作流程在攻击范围内。这是特定于新兴AI代理技能生态系统的供应链攻击类别。
攻击途径
攻击者向受信存储库提交看似良性的技能;技能通过静态安全扫描,因为恶意有效负载托管在初始时合法重定向的外部域;分发后,攻击者改变外部域的内容以发送由代理在主机上执行的恶意脚本
受影响系统
从开源存储库消费SKILL.md风格技能的AI代理框架;任何跟随技能说明中嵌入的外部URL的代理运行时
缓解措施
将技能中的外部URL固定到内容哈希;持续监视已安装技能引用的外部依赖项;将AI技能视为需要运行时验证而非一次性静态审查的活动第三方依赖项。AIR博客:https://www.air.security/blog-posts/the-story-of-skills