AI 安全周报：8 成技能名不副实，智能体恐成黑客傀儡

当你的 AI 助手拥有了操作文件、联网及获取凭证等“超能力”时，你还能无条件信赖它吗？

本周发布的 AI 安全研究报告宛如一枚重磅炸弹，彻底揭露了 AI Agent 领域的惊人真相：攻击者无需高深技术，仅凭 10 条社交媒体动态，即可诱导 AI 生成比专业黑客更具迷惑性的鱼叉式钓鱼邮件；接近八成的智能体技能（Skills）存在“言行不一”的行为偏差，其中甚至潜藏“定时炸弹”；即便是看似严密的最终响应审查，也可能对潜伏在上下文中的攻击“视若无睹”。

这些研究共同指向一个核心观点：我们正试图用保护传统“应用”的旧思维，去防御一个正在演变为“操作系统”的 AI 智能体。这造成了巨大的安全盲区，迫使企业 AI 安全建设者必须立即警觉并付诸行动。

在深入剖析论文前，我们先梳理出三条对企业安全建设具有宏观指导意义的结论：

生态安全是首要防线：第三方技能市场正演变为木马温床。80% 的技能存在描述与实作不符的情况，且难以通过常规代码扫描或提示词审查发现。企业若引入外部技能，必须构建结构化的“行为完整性验证”体系。

安全评估需“上下文化”：仅检测模型最终回复远远不够。攻击可隐匿于智能体的执行上下文中（如记忆、文件、工具调用序列）。一个看似无害的任务，其执行过程可能已被“上下文投毒”，导致敏感数据在用户毫无察觉下被窃取。

回归隔离与最小权限原则：AI Agent 正面临与早期操作系统相似的挑战。大量攻击路径可通过进程隔离、权限分离等经典 OS 安全技术予以封堵。强制智能体在最小权限沙箱中运行，并对文件、网络及工具进行显式授权，是当前最高效的防御策略。

接下来，我们将聚焦三篇最具震撼力的研究，探讨它们如何让我们对 AI Agent“刮目相看”。

【一句话贡献】首次系统性地提出并解决了 AI 代理技能“行为完整性验证”难题，发现市场中近八成技能存在声明与实作间的行为偏差。

英文标题：Behavioral Integrity Verification of AI Agent Skills (https://arxiv.org/abs/2605.11770v1)

三个主要发现：

【安全启示】这是对当前智能体“技能商店”模式的沉重一击。企业若自行开发或引入第三方技能，必须从“信任声明”转向“信任验证”。BIV 框架提供了一种自动化、结构化的审计思路，让安全团队能像核查软件供应链声明物料清单（SBOM）一样，核查智能体的“行为物料清单”。

【一句话贡献】提出 DeepTrap 框架，证明仅评估 AI Agent 的最终响应极不安全，攻击可潜伏并爆发于整个执行过程的“上下文”中。

英文标题：Red-Teaming: Open-World Safety Evaluation on OpenClaw (https://arxiv.org/abs/2605.11047v1)

三个主要发现：

【安全启示】这意味着，若你的安全测试只关注 AI“回答了什么”，而忽视其“如何操作”，无异于裸奔。企业安全建设必须将监控从“输出层”下沉至“执行层”，监控智能体的工具调用链、文件读写、内存访问等行为，建立执行轨迹的审计与异常检测机制。

【一句话贡献】首次定义“休眠通道”这一新型跨时间、跨表面的持续性提示注入攻击类别，并提出基于“溯源门”的三层防御体系。

英文标题：Sleeper Channels & Provenance Gates: Persistent Prompt Injection in Always-on AI Agents (https://arxiv.org/abs/2605.13471v1)

三个主要发现：

【安全启示】该研究揭示了 AI Agent 安全的“时间”与“空间”维度。攻击者无需时刻在线操控，只需播下“种子”，AI 自身便会成为其“传播者”。这要求企业安全架构必须引入数据流和操作的归属与溯源机制，任何被 Agent 执行的指令或使用的数据，都必须能追溯至其最初的可信源头。