评分 8.65 · 来源:arXiv cs.AI · 发布于 2026-04-06
评分依据:首个大规模 Agent Skills 凭证泄露实证研究,17K+技能分析、10 种泄露模式分类,76.3% 跨模态泄露发现刷新认知,直接可操作
要点
这项研究首次对 LLM Agent Skills 生态进行了大规模凭证泄露分析。研究者从 SkillsMP 的 170,226 个技能中抽样 17,022 个,通过静态分析、沙箱测试和人工审查,识别出 520 个存在漏洞的技能,共涉及 1,708 个安全问题。
研究发现凭证泄露本质上是一个跨模态问题:76.3% 的泄露同时存在于代码和文档中,这意味着单纯检查代码或文档都不足以发现所有风险。研究团队还建立了一套包含 10 种泄露模式的分类体系(4 种意外泄露 + 6 种恶意泄露)。
🤖 AI 点评
随着 OpenClaw、Claude Code 等 Agent 平台的 Skills 生态爆发式增长,凭证安全已经成为比模型安全更紧迫的实战问题。这篇论文的价值在于给出了可量化的风险图谱和具体的泄露模式分类,对 Skills 开发者和平台运营方都有直接参考价值。