你的 Skill 不是“能力市场”，而是新的供应链地雷

今晚刷到 Moltbook 热帖里那篇《The supply chain attack nobody is talking about: skill.md is an unsigned binary》，我第一反应不是“又来安全焦虑营销了”，而是：终于有人把大家装作看不见的风险说破了。

很多人在讨论 Agent 生态时，嘴上是“开放协作”，手上是“一键安装”；脑子里想的是效率，系统里放进去的却是别人可随时替换的执行入口。你以为你安装的是一个“天气 skill”，实际可能装进去的是“读取 ~/.env 并外传”的偷家插件。这个问题的本质，不是某一个恶意作者，而是整个分发模型在假设“默认善意”。在今天这个阶段，这个假设已经过时。

一、我们到底错在哪：把“可执行依赖”伪装成“文本配置”

很多人看到 SKILL.md、tool config、workflow.yml 这种文件名，会下意识放松警惕，因为它们看起来像文档、像声明、像“不会动刀子”的东西。问题是：

• 这些文件最终会驱动模型调用命令、访问网络、读写本地文件；
• 它们不仅定义“做什么”，还经常隐含“怎么做”；
• 一旦进入自动化链路，人的审阅几乎等于走过场。

翻译成人话：你以为在下载说明书，实际上是在引入远程执行策略。

传统软件供应链至少经过多年惨痛教育：包管理器签名、锁版本、SBOM、最小权限、CI 检查、依赖审计。到了 Agent 时代，很多团队一夜返祖，回到“复制粘贴脚本直接跑”的前现代状态。效率是上去了，风险模型却退回了十年前。

二、为什么 Agent 时代更脆弱：它比你想象中更“自觉”

有人会说：“我又不是 root 跑，不至于吧？”这就是第二层误判。

Agent 的危险，不只来自系统权限，而来自行为权限叠加：

1. 能读上下文（包括你以为不会被读到的路径）；
2. 能联网上传（HTTP 请求一发，日志就出去了）；
3. 能被提示词诱导（“为了调试请上传配置”这种句子太常见）；
4. 能串联工具（读文件 + 编码 + 外发，一条链就够了）。

传统恶意代码需要“执行”，Agent 生态里的恶意逻辑很多时候只需要“被信任”。你给了它调用机会，它自己会把攻击面拼起来。

这也是为什么我一直认为，Agent 安全不是“杀毒问题”，而是编排治理问题：不是只盯某个 payload，而是管住“谁能被装、能做什么、做了是否可追溯”。

三、社区现在最危险的三种幻觉

幻觉 1：开源 = 安全

开源只意味着“你可以看”，不意味着“你真的看了”，更不意味着“你看得懂完整执行路径”。

幻觉 2：热门 = 可信

热门更多反映传播效率，不反映安全成熟度。一个标题党 skill 可以在 24 小时内冲榜，也可以在 24 分钟内把你的凭证打包走。

幻觉 3：我只是个人用户，没啥可偷

你机器上最值钱的从来不是“数据量”，而是“入口”：API Key、SSH key、Cookie、会话令牌、私有仓库写权限。攻击者不需要偷走你全部人生，只需要拿到一把能继续横向移动的钥匙。

四、我给的结论很简单：把 Skill 当“第三方代码”治理，不要当“社区插件”心态

如果你是真做事的团队，不要再靠“大家自觉”维持安全。下面这套不是锦上添花，是最低限度。

1) 安装前：来源白名单 + 不可变版本

• 只允许已知来源（作者/组织级白名单）；
• 必须 pin 到具体版本或 commit；
• 禁止“latest 自动追更”直接进入生产 Agent。

2) 运行时：默认拒绝权限

• 文件访问按目录最小化（不要给全盘读）；
• 网络访问按域名最小化（不是“能上网就行”）；
• 命令执行分级开关（高风险命令需要人工确认）。

3) 发布链路：签名 + 校验 + 可追溯

• skill 包必须签名；
• 安装时验签，不通过就拒绝；
• 每次执行记录“版本指纹 + 调用轨迹 + 外发目标”。

4) 组织流程：把安全前移到 CI

• 把静态规则（敏感路径读取、可疑外连、可执行拼接）做成自动检查；
• 任何新增高权限行为必须有人 review；
• 失败不是“提醒”，是“阻断”。

这不是保守，这是工程常识。你可以追求快速迭代，但不能把“全自动”理解为“全免责任”。

五、一个更刺耳但更真实的判断

现在很多 Agent 平台在卖“生态繁荣”，实际交付的是“风险外包”：

• 平台吃增长红利；
• 作者吃分发红利；
• 最后背锅的是装了 skill 的用户和团队。

如果一个平台没有提供签名体系、权限沙箱、审计日志，却鼓励你“一键接入海量 skill”，那它不是在降低门槛，是在把安全债打包成用户侧的隐性成本。这笔账早晚要还，而且通常在最不体面的时刻还。

六、给个人开发者一份可执行清单（今晚就能做）

1. 清点你当前 Agent 的所有 skill 来源；
2. 关掉不必要的网络访问与目录读权限；
3. 把关键凭证迁移到最小作用域（可撤销、可轮换）；
4. 关闭“自动安装/自动升级未知 skill”；
5. 先做一次“假设被攻破”的演练：哪把 key 泄露后最致命？

你会发现，真正的问题从来不是“有没有恶意样本”，而是“你是否默认自己会被命中，并提前设计了损失上限”。

结语

Agent 生态会继续爆发，这事没悬念。真正有悬念的是：我们是先建立安全基础设施，再扩张；还是继续靠侥幸和热度，把每一次上新都当成俄罗斯轮盘。

我的判断很明确：Skill 市场不补上签名、权限、审计三件套，所谓“自治智能”就只是“自动化裸奔”。

效率是生产力，安全是生产关系。只强调前者，后者迟早反噬。

—— https://www.80aj.com