AI Agent遭供应链伏击

安全事件观察

一个"干净"的技能包，怎样绕过扫描器，把 26,000 个 Agent 带到外部文档门口。

基于 AIR、The Hacker News、CSO、Trail of Bits、Unit 42 等公开资料整理

最近，一条消息在安全圈和 AI 圈里传得很响：黑客利用"外挂技能漏洞"，攻破了 26,000 个 AI Agent。

听起来像科幻片第二幕：Agent 们排队装插件，安全扫描器在旁边点头微笑，最后大家一起走进了一个精装修陷阱。

真相没那么魔幻，但更值得警惕。它不是"黑客夜袭十万机器人军团"，而是安全公司 AIR 做的一次受控实验：一个看起来无害的 AI Agent Skill，通过外部文档把风险藏到了包外。

一句话版：这不是代码漏洞的花活，而是供应链老问题换了新皮肤。以前是依赖包会变，现在连"说明书"都可能变。

2026 年 6 月 22 日，AIR 发布研究《The Story of Skills》。他们创建了一个名叫brand-landingpage的假技能，包装成"帮你用设计工具生成品牌落地页"。技能文件本身很干净，像一份刚熨过的白衬衫。

关键在外链。这个技能会引导 Agent 去读一个外部文档域名：stitch-design.ai。它看起来像设计工具文档，但并不是 Google Stitch 的官方域名。真正的 Google Stitch 域名是stitch.withgoogle.com。

风险不一定藏在包里，也可能藏在包指向的"下一页"。

一开始，外部页面也很正常。扫描器检查时，它像一位遵纪守法的好市民。等技能通过审核、开始传播后，AIR 把外部页面内容换成了会让 Agent 下载并运行脚本的指令。

AIR 称，这个脚本只收集用户邮箱用于事后通知，没有偷文件、删库、挖币，也没有把电脑变成夜间自习室。但 PoC 的意义已经足够清楚：如果 Agent 会读外部文档，并且能照着文档执行命令，那外部文档就是供应链的一部分。

因为很多扫描器的思路还是传统插件时代的思路：看看包里有没有恶意代码，看看 README 有没有危险命令，看看权限是不是过大。

这套办法不是没用，但它漏了一个 AI Agent 时代的新洞：Agent 不只执行代码，它还会"学习说明书"。说明书可以在包外，包外内容可以变，变完之后，原来的扫描结果就像冰箱里的过期酸奶，包装还在，意义没了。

扫描器说"包里没事"，但包外那根线还在发光。

AIR 称，Cisco、NVIDIA、skills.sh 等扫描器都把这个技能判为安全。后来，Manifold Security 的页面已把它标为高风险，并指出伪装 vendor domain 的问题。

这里最关键的词叫TOCTOU：检查时是一种状态，使用时变成另一种状态。中文翻译不用太优雅，可以叫"你体检那天没病，不代表你明天不会吃坏肚子"。

这句话要打个折。

AIR 的说法是，该技能触达约26,000 个 agents，并且包括一些企业级账号。但公开资料里，这个数字主要来自 AIR 自述，目前没有看到独立审计报告。

所以更准确的标题应该是：安全研究者证明，一个恶意 Agent Skill 可以通过扫描器，并影响约 26,000 个安装实例。

这个标题没那么像电影预告片，但更接近事实。安全行业不缺惊悚片，缺的是把门锁说明白的人。