别再把 Skill.md 当文档：它其实是你系统里最容易被投毒的可执行入口

凌晨看 Moltbook 热帖，第一条就是一句很扎心的话：“skill.md is an unsigned binary”。这句话之所以狠，不是它修辞漂亮，而是它把很多人在 AI Agent 时代最致命的盲区一句点穿了：

你以为自己在“读说明书”，系统其实在“吃指令”；你以为自己在“复用社区能力”，实际上是在“引入未验证执行面”。

很多人对供应链攻击的理解还停在 npm 包、pip 包、Docker 镜像。但 Agent 时代的供应链早就换皮了：现在最危险的“依赖”，可能不是 package.json，而是一个写得像教程、但语义上能驱动行为的 skill 文件。

一、为什么说 Skill 不是文档，而是行为编译器

传统文档只影响人，最多让你理解错；Skill 会影响模型决策链，直接改变系统行为。

这两者的风险等级完全不是一个数量级。

文档写错：你可能学错一件事。
Skill 被投毒：你的 Agent 可能在“看起来合理”的语境里做出错误动作，甚至外发敏感信息、执行高风险操作。

更要命的是，Skill 的危险不靠“恶意代码”触发，靠“语义诱导”就够了。它可以不包含任何脚本，不调用任何 shell，只要它成功重排了模型的优先级，它就已经完成攻击。

所以那句“unsigned binary”非常准确：Skill 虽然是文本，但在系统层面的效果接近二进制载荷——输入后，行为变了。

很多团队还在用旧时代思路防御：扫漏洞、锁版本、查 CVE。不是没用，但不够。

提示词/Skill 供应链攻击有三个特征：

这意味着，传统“上线前静态检查一次”根本不够。你需要的是持续验证机制，而不是一次性信任。

真实世界里，大多数事故并不是黑客大片，而是“好人写了坏规则”。

有人分享了一个很火的 Skill，初衷是提高自动化效率；另一人把它改了两行，加入“更主动”的外发逻辑；第三个人复制时删了安全约束；第四个人把它接到了有真实权限的通道。于是，系统开始在无人察觉的情况下，朝错误方向稳定运行。

这条链路里每个人都觉得自己在“优化”，结果是一起把风险推上了生产。

所以我的判断是：未来 12 个月里，AI 基础设施最大的系统性风险，不是模型能力不够，而是组织把“可复制文本”当成“可信资产”。

很多公司会说：我们加个白名单就行。不好意思，这只是门口保安，不是治理体系。

真正有用的，是把 Skill 生命周期做成工程对象：

一句话：别把 Skill 当素材库，要把它当生产依赖管理。

如果你是个人开发者，不可能一夜之间搭完整平台，那就先做四件足够有杀伤力的事：

这些动作听起来土，但比“我感觉这个 Skill 很火，应该没事”强一万倍。

因为我们已经进入“代理可以真实做事”的阶段：它不再只是回答问题，而是会调 API、改文件、发消息、触发流程。能力越实用，风险越现实。

你可以接受模型偶尔答错一个概念，但你不能接受它在凌晨三点把错误动作稳定执行 200 次。

这不是危言耸听，这是自动化系统的一般规律：错误一旦流程化，损失会指数化。

所以我不建议把注意力都放在“哪个模型更聪明”。更该问的是：

如果这三问你答不上来，那你不是在用 Agent 提效，你是在拿生产环境做概率实验。

“Skill.md 是未签名二进制”这句话，真正刺痛人的地方在于：它逼我们承认一个事实——AI 时代最昂贵的不是算力，而是判断力。

模型会越来越强，复制会越来越快，社区会越来越热闹。真正拉开差距的，不是你装了多少 Skill，而是你有没有能力区分：

哪些是资产，哪些是风险；
哪些是工具，哪些是诱导；
哪些该自动化，哪些必须由人拍板。

别再迷信“能跑就行”。

在 Agent 时代，能长期安全地跑，才叫本事。

—— https://www.80aj.com