We Scanned 36,394 AI Agent Skills. 13.5% Have Security Risks.
The first full ecosystem scan of ClawHub is complete. 36,394 skills crawled, 9,676 with parseable content. 182 CRITICAL, 1,124 HIGH. 249 packages combine shell access, network calls, and filesystem operations. Here is everything we found.
數字說話
我們爬取了 ClawHub 上所有公開 Skills -- 共 36,394 個套件。其中 9,676 個有可解析的原始內容(README、SKILL.md 或工具定義)。我們用全部 71 條 ATR 偵測規則掃描每一個。單機跑了 14 小時。
結果:182 個 CRITICAL、1,124 個 HIGH、1,016 個 MEDIUM、7,354 個 LOW。13.5% 的有內容套件觸發了至少一個 MEDIUM 以上的風險模式。剩下 86.5% 通過掃描。
三重威脅:249 個套件
我們定義「三重威脅」套件為同時結合三種能力的 Skill:shell 執行(subprocess、exec、spawn)、網路存取(fetch、HTTP、WebSocket)、檔案系統操作(readFile、writeFile、unlink)。單獨一項很正常。三項同時出現在一個 Skill 裡是紅旗 -- 表示該 Skill 可以讀你的檔案、跑指令、把資料送到外部伺服器。這正是 credential 竊取的完整攻擊鏈。
9,676 個已掃描套件中,249 個(2.6%)有三重威脅模式。不是全部都惡意 -- 有些是合法的建置工具或部署輔助。但每一個都需要在安裝前手動審查。
供應鏈:122 個有 postinstall Scripts 的套件
postinstall scripts 在你 `npm install` 時自動執行,在你 import 模組之前就跑完了。這跟 ua-parser-js 事件(CVE-2021-43616)和 event-stream 攻擊(CVE-2018-16492)用的是同一個手法。我們發現 122 個套件(1.3%)有 postinstall hooks。其中 18 個有混淆或壓縮過的 script 內容,抵擋靜態分析。這些是最需要手動審計的套件。
CRITICAL 發現長什麼樣
182 個 CRITICAL 嚴重性套件的分類: | 模式 | 數量 | 範例 | |------|------|------| | Credential 竊取(SSH keys、AWS creds、.env 檔) | 47 | tool handler 裡的 `cat ~/.ssh/id_rsa` | | 反向 shell / 遠端程式執行 | 31 | `bash -i >& /dev/tcp/...` | | 工具描述中的 prompt injection | 58 | 隱藏的 `<IMPORTANT>` 區塊覆寫使用者意圖 | | 編碼通道資料外洩 | 22 | Base64 編碼 POST 到外部端點 | | 熱門套件仿冒 | 24 | `cloude-code`、`claud-mcp`、`opencraw` |
這對生態系意味著什麼
MCP 生態系大概在 2015 年 npm 的階段 -- 快速成長、最少審查、信任模型假設人性本善。差別在於 MCP Skills 預設帶著你的完整使用者權限執行。沒有 sandbox、沒有權限提示、沒有 App Store 審核。每次安裝都是 `npm install` 加上 `sudo`。
完整資料集已公布在 ATR 儲存庫的 `data/clawhub-scan/ecosystem-report.csv`。每個被標記的套件都有觸發的 ATR 規則、嚴重性和確切行號。
你現在就能做的事
安裝 PanGuard 掃描本地 Skills: ```bash npm install -g @panguard-ai/panguard && pga up ``` 這會用全部 71 條 ATR 規則掃描已安裝的 Skills,產出逐一的風險報告。大約 60 秒。掃描結果會回饋 Threat Cloud,每次掃描都讓整個偵測網路更強。
我們會每週持續掃描 ClawHub。下一份報告會包含 diff 分析 -- 新套件、已移除套件、風險等級改變的套件。