360报告：Skill成AI智能体安全新隐患

近日，360 AI安全研究院推出了《AI安全系列报告：智能体安全新范式——当AI有了“手和脚”，企业安全边界必须重建》（简称《报告》）。《报告》强调，随着智能体迅速渗透到企业办公、研发、运维、客服等关键业务场景，AI安全的核心议题已由“生成风险”转变为“执行风险”。

过去，大模型的安全主要聚焦于AI会不会“说错话”，诸如幻觉、违规输出及敏感信息泄露等问题。然而，当智能体开始调用工具、访问数据并执行实际任务时，其带来的最大隐患正转变为“做错事”。

《报告》提出了“合法动作的非法后果”这一概念，旨在描述智能体在具备正常身份、工具和流程的前提下，因恶意诱导、逻辑误判或上下文污染，最终执行出违背业务初衷或突破安全边界结果的风险状态。

智能体安全六层攻击面模型

为明确智能体风险的渗透路径及企业安全边界的构建方向，《报告》构建了“智能体安全六层攻击面模型”，将企业级智能体的攻击面划分为人机交互层、通信调用层、组件间层、智能体之间、工具调用层和基础运行环境层。360据此提出“意图检测、环境隔离、逻辑纠偏”三大策略，并形成“端+云+管理平台”的防护闭环。

在端侧与主机侧，重点解决智能体运行环境的可控性、高风险行为的阻断以及敏感数据的保护；云端则侧重于持续开展Skill检测、漏洞运营、风险特征沉淀及安全策略更新；管理平台则聚焦于智能体资产的发现、风险的可视化呈现、行为审计和策略编排，助力企业从单点防护迈向体系化治理。

《报告》指出，AI安全包含两类问题：一是“确定性计算”中的传统安全问题，如漏洞、入侵、权限控制、配置脆弱及供应链风险；二是“不确定性计算”引发的新问题，如提示词注入、工具投毒、意图篡改、返回值污染及智能体误执行。针对这两类问题，360提出了两条解决路径：一是利用AI技术强化传统安全防护，提升漏洞发现、入侵研判、样本分析和响应处置的效率；二是确保不确定性任务在安全约束下执行，实现智能体“可做事，但不越界”。

此外，《报告》强调，Skill正逐渐成为智能体生态中的主要风险入口。作为智能体调用外部工具、连接业务系统的关键组件，Skill本质上已融入智能体的能力链条。一旦Skill存在安全隐患，风险将不再局限于单个插件，还可能波及企业账号体系、数据资产、业务系统乃至合规管理。

近期备受关注的龙虾（OpenClaw），便是智能体生态快速演进的典型代表。在OpenClaw等生态中，Skill是扩展智能体能力的重要载体。智能体能否执行邮件发送、数据查询、文件处理、业务流转等任务，往往取决于其可调用的Skill。因此，OpenClaw类平台的安全问题，不仅涉及智能体本体，还涵盖Skill准入、权限边界、运行审计及工具调用治理。

十大高风险Skill类型

针对Skill安全，360沙箱云-SKILLS分析平台面向AI Agent Skill生态提供检测与云鉴定服务，支持Skill压缩包、详情页、下载地址等多种提交方式，检测流程涵盖静态分析、AI意图识别、动态沙箱及持续运营，旨在帮助开发者、企业安全团队及智能体使用者提前识别Skill上线前的潜在风险。

360 AI安全研究院认为，智能体安全的核心不在于限制其少做事，而在于引导其在可信边界内做出正确的事。