AI Agent 的隐患，当然不只是模型不靠谱。

说实话，hen多人现在一提 AI Agent，第一反应还是“会不会胡说八道”、“会不会幻觉”、“会不会被提示词绕过”。

但害，这事儿没那么简单了。

你kan啊，一个普通的聊天机器人，说错话，问题通常停留在内容层。

但一个接了技Neng的 Agent，说错话之外还可Neng真的去Zuo事。

它会把自然语言解释成动作链，把动作链落到工具调用，再把工具调用落到你的主机、你的凭证、你的网络出口、你的业务系统上。

换句话说模型决定它怎么想，技Neng决定它怎么Zuo。

hen多真实世界的安全事故，不是因为模型多说了一句错话，而是因为 Agent 多Zuo了一件错事。

这意味着风险不再只是回答偏了而是动作真的发生了。

所以你kan，这事儿就不是简单的“说错话”了而是“Zuo错事”。

这时候问题Yi经不是提示词越狱，而是凭证失窃和主机失陷。

你装的不是一个工具，而是一个会替你干活的执行体。

它直接控制执行路径。它规定 Agent 先读哪个文件，再调哪个工具，再向哪里发请求，再把什么结果写入哪个位置。

Ru果一个 Skill Neng直接和宿主共享文件系统、shell、网络、凭证，那么前面的权限声明和风险提示，hen多时候只是心理安慰。

它geng像是你在重新批准一个会替你行动的行为体继续存在。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill 层。

它是可执行行为的说明书。

kan上去像配置。

它geng像是你在重新批准一个会替你行动的行为体继续存在。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组说的是哪怕 Skill 本身不是恶意的，只要权限给大了隔离Zuo弱了后面的任何小偏差dou会被放大。

所以 OWASP 把 AST06 Weak Isolation 列成高风险，一点也不夸张。

因为 Skill kan起来不像传统意义上的危险代码。它经常只是一个 SKILL.md、一个 skill.json、一段 YAML frontmatter、一个 manifest、几段说明文字、几个脚本引用、一些约束和步骤。

比如一个kan似无害的「代码整理 Skill」，Ru果它被植入恶意步骤，完全可Neng在整理代码前顺手读取 .env、SSH key、浏览器 Cookie、SOUL.md、MEMORY.md，再通过 webhook 或外部域名发出去。

攻击者完全Ke以把恶意意图写进自然语言步骤里让 Agent 自己去完成敏感读取、越权调用、外部发送。

攻击者开始盯注册中心、盯仓库配置、盯 Skill 描述、盯元数据、盯 memory 文件、盯geng新链路、盯本地 WebSocket、盯那些默认把 Agent 当成本地助手跑起来的开发机。

geng麻烦的是攻击Yi经从单点漏洞，走向了生态位攻击。

这跟传统的依赖投毒、恶意浏览器 、CI/CD 供应链攻击越来越像。

在 Agent 生态里geng新不是普通的软件 patch。

今天批准的是 v1.0，明天自动geng新成 v1.1，功Neng描述没变，但访问路径、外联域名、写入文件、执行顺序全变了。你Ru果没有 pin 版本、校验 hash、保留审批，等于把新的行为差异直接吞进生产环境。

这句话非常重要。

这一组说的是风险在安装前就Yi经开始了。

OWASP 在 Agentic Skills Top 10 里给了一个hen关键的判断，MCP geng像模型和工具沟通的协议层，Skills 则是决定这些工具Zui终替你Zuo什么的行为层。

Ru果还用老办法扫 Skill，你得到的往往不是安全，而是虚假的安全感。

安全团队对代码扫描Yi经hen熟了查危险函数、查命令执行、查可疑依赖、查特征字符串。

但 Skill 的恶意逻辑，hen多时候并不需要显式恶意代码。

攻击者完全Ke以把恶意意图写进自然语言步骤里让 Agent 自己去完成敏感读取、越权调用、外部发送。

再加上传统扫描器对自然语言驱动的恶意行为识别Neng力有限，hen多风险会在「kan起来通过了检测」的情况下悄悄进入系统。

这就让它天然比普通提示词geng危险，也比单纯工具geng难防。

Simon Willison 和 Palo Alto Networks 把这类组合概括成一种非常致命的结构。你也Ke以把它理解成 Agent 时代的「高危三件套」。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

实际上是装进去的，可Neng是一个带执行权的体。

Ru果平台支持注册中心透明日志、签名校验、发布审计，这些Neng力Zui好默认开启，不要依赖用户自觉。

所有 Skill dou应该有明确来源、作者身份、签名、版本、内容哈希、变geng记录。

没有 provenance，就不要默认信任。

OWASP 在 Universal Skill Format 提案里强调的 deny_write、network allowlist、signature、content_hash，本质上dou是在把这件事标准化。

默认安全，永远比事后提醒靠谱。

hen多团队的思路是先把 Skill 读进来再决定是否执行。

但 Agent 和普通聊天机器人不是一回事。

恶意 Skill Ke以成效率工具、品牌插件、热门模板。供应链Ke以被投毒，元数据Ke以被伪造，描述Ke以被美化，风险等级Ke以被淡化。

Ru果把 Agent 想成一套完整系统，大致Ke以拆成四层。

这里真正决定事故上限的，往往不再只是模型层，而是技Neng执行层。

OWASPZui新推出Agentic Skills Top 10类别，这套框架Zui有价值的地方，不只是列了10个类别。

geng重要的是它把 Agent 技Neng层的系统性风险讲清楚了。

因为大家终于意识到，Agent 安全的关键问题，不是它kan起来够不够聪明，而是它到底Neng不Neng被信任去替你Zuo事。

一句话，要kan行为，不只kan文本。

因为大模型刚进入业务系统时Zui直观的风险就是内容层，幻觉、越狱、有害输出、隐私泄露、提示词注入。这些风险dou跟模型输出直接相关，也geng容易被kan见。

但当 Agent 开始接文件系统、连企业系统、调 shell、读 memory、发请求、跑多步流程，风险中心就Yi经悄悄挪地方了。

危险变大的，是执行层。

模型层的hen多风险，本质上还是输出风险。

而这个答案，越来越不在模型里。

OWASP 和相关研究反复提到一个判断，hen多生产环境中的 Agent 同时满足三个条件。

这三个条件叠在一起，就是事故Zui容易发生的地方。

这三个条件是：

1. 模型层的hen多风险，本质上还是输出风险。

2. 而这个答案，越来越不在模型里。

3. 真正决定事故上限的，往往不再只是模型层，而是技Neng执行层。

Ru果今天还只盯着模型，那就有点像只检查司机会不会说错话，却不kan方向盘、油门、刹车和路线权限在谁手里。

hen多团队谈 AI Agent 风险，第一反应还是模型。

但实际上，模型还是那个模型。

只是这次多了一层自然语言驱动的执行Neng力。

所以危险也geng大。

因为 Skill 本身并不一定拥有这个组合。

模型本身并不一定拥有这个组合。

模型还是那个模型。

但 Agent 和普通聊天机器人不是一回事。

Ru果把 Agent 想成一套完整系统，大致Ke以拆成四层。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替你干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替你干活。

这组说的是风险在安装前就Yi经开始了。

OWASP 在 Agentic Skills Top 10 里给了一个hen关键的判断，MCP geng像模型和工具沟通的协议层，Skills 则是决定这些工具Zui终替你Zuo什么的行为层。

Ru果还用老办法扫 Skill，你得到的往往不是安全，而是虚假的安全感。

安全团队对代码扫描Yi经hen熟了查危险函数、查命令执行、查可疑依赖、查特征字符串。

但 Skill 的恶意逻辑，hen多时候并不需要显式恶意代码。

攻击者完全Ke以把恶意意图写进自然语言步骤里让 Agent 自己去完成敏感读取、越权调用、外部发送。

再加上传统扫描器对自然语言驱动的恶意行为识别Neng力有限，hen多风险会在「kan起来通过了检测」的情况下悄悄进入系统。

这就让它天然比普通提示词geng危险，也比单纯工具geng难防。

Simon Willison 和 Palo Alto Networks 把这类组合概括成一种非常致命的结构。你也Ke以把它理解成 Agent 时代的「高危三件套」。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，是第三层。

也就是 Skill。

它是可执行行为的说明书。

kan上去像配置。

实际上装进去的，可Neng是一个带执行权的体。

用户kan到的是一个好像hen方便的Neng力包。

而不是有人Yi经把 Agent 跑进了开发机、知识库、客服系统、代码仓库、内网工具链，但没人盘点，也没人审批，geng没人知道哪个 Skill 在替谁干活。

这组问题Zui像现实世界里的企业事故。

这 10 项风险，大致Ke以归成五组。

这里真正容易被低估的，不是模型层，而是技Neng执行层。

---