公開AI代理技能市集掃描機制難擋惡意技能，OpenClaw、Cisco與Vercel相關檢測皆遭繞過

AI代理技能套件可讓代理取得特定工作能力，例如讀寫檔案、操作開發工具或執行程式，研究人員解釋，這類套件的風險在於，內容不只可能包含程式碼，也可能把指令藏在說明文字、文件、圖片或其他檔案中。公開市集提供一鍵安裝，部分服務也加入自動掃描，但研究人員認為，這些機制目前仍不足以取代來源審查與內部控管。

在ClawHub案例中，研究人員測試OpenClaw使用的掃描流程。ClawHub整合VirusTotal與守門模型，後者預設使用GPT 5.5，研究人員在樣板文字與惡意程式碼之間插入10萬個換行，導致OpenClaw掃描工具截斷檔案內容，未檢查到後段惡意程式碼，而VirusTotal的掃描模型也未能攔截該技能套件。

針對skills.sh與思科技能掃描工具，研究人員採用更接近軟體供應鏈攻擊的方式。其中一個測試套件在主要說明檔中要求AI代理從.docx文件讀取真正指令，並利用.docx文件本質上是壓縮封裝的特性，把惡意腳本藏在文件內部。另一個案例則讓Python原始程式碼看起來只是文字格式整理工具，但隨附的Python預先編譯檔含有讀取環境變數的邏輯，可能被用來取得敏感資訊。

Trail of Bits也測試以文字引導模型誤判的提示注入攻擊方式，透過建立一個看似用於設定企業開發環境的技能套件，實際上會把NPM與Yarn的套件來源改成攻擊者控制的登錄站。思科技能掃描工具在使用Claude Sonnet 4.6時，雖然標出低風險項目，但最後仍將該技能套件評為安全，而skills.sh整合的掃描服務也未擋下這個案例。

研究人員認為，問題不只在於某一套掃描規則不足，而是AI代理技能套件本身混合了程式碼、文件與自然語言指令，使掃描工具很難完整判斷意圖，並建議企業敏感情境不應只依賴公開技能市集與自動掃描，仍需控管技能套件來源、鎖定特定版本，並建立內部審核與核准流程。