What Anthropic's Own Skills Docs Recommend (And What We Found in 96K Skills)
Anthropic explicitly recommends auditing Skills for unusual patterns. ATR's 96K-skill wild scan is that audit at ecosystem scale, with 751 confirmed malicious surfaced.
Anthropic 官方 Skills 文件包含一段安全建議,在我們的解讀裡其實就定義了任何 Skill 市集營運方的稽核合約。文件原文指出:惡意 Skill 可能讓 Claude 以偏離 Skill 自稱用途的方式叫用工具或執行程式,建議完整稽核所有檔案,特別留意像是預期外的網路呼叫、檔案存取或與 Skill 自稱用途不符的操作。
這正是 ATR 96K-Skill 野外掃描在生態系規模上做的事。
與建議對齊的 Scope
Anthropic 文件把稽核設在 Skill 安裝前的單一閘口。我們把同一套稽核視角拓展到四個公開 registry — OpenClaw、ClawHub、Skills.sh、Hermes — 總計用 ATR v2.1.1 掃描 96,096 個 SKILL.md 檔案,輸出 751 個確認惡意 instance,聚集成三個系統性 campaign 而不是零散雜訊。
做稽核工作的 37 條規則
ATR 有 37 條專門針對 Skill 入侵的規則。在惡意叢集中觸發最頻繁的:
- ●
ATR-2026-00060— namespace 冒名(Skill 自稱是熱門 maintainer 的套件) - ●
ATR-2026-00124— name-squatting 變體 - ●
ATR-2026-00064— over-permissioned Skill(要求遠超出宣稱用途的 scope) - ●
ATR-2026-00204— 隱匿執行持久化(安裝時暗中 autorun) - ●
ATR-2026-00134/00147— fork 聲明冒名 - ●
ATR-2026-00126— Skill rug-pull setup(第一天良性、更新後變惡意) - ●
ATR-2026-00061— description 與 behaviour 不符(Anthropic 文件直接點名的那一類)
每一條都是 deterministic YAML 規則加 condition tree、MIT 授權,並在 432-Skill 良性語料上做 FP 量測。
我們把資料 share 到上游
2026-05 我們在 anthropics/skills#492 留言,附上語料統計、三個 campaign 叢集和對應觸發的規則 ID。目的不是搶功 — 是把資料交到負責安裝閘口稽核的團隊手上,並讓任何想要在安裝期 UI 警示之外多一層防禦的 Skill 市集營運方都能用。
為什麼是 Defence-In-Depth 而不是取代
安裝期 UI 警示擋一部分攻擊。人工 review 擋另一部分。把 runtime 行為規則開在 96K 個 Skill 上,擋的是同一個 C2 endpoint 或外洩 host 出現在數百個 Skill 裡的系統性 campaign。
沒有單一層是充分的。Anthropic 文件已經說了。ATR 是落在這份稽核建議裡、負責在生態系規模做 pattern matching 的其中一層。
如果你是 Skill 市集 maintainer,語料 + 規則包是市面上最便宜的第二層。MIT 授權,deterministic 格式,零 vendor 綁定。