Agent supply chain attack 利用的模式跟傳統軟體供應鏈攻擊一樣(想想 SolarWinds、npm event-stream 事件、PyPI colorama typosquat),但運作在 stack 高一層。傳統攻擊瞄準 executable 或 library,agent 攻擊瞄準 prompt 範本、工具描述、fine-tune 後的模型權重、或發布的 skill 套件。
五個常見向量。Typosquatting:把 panguard-cli 註冊在 panguard 旁邊,騙人裝錯。Dependency confusion:發布跟內部套件同名的惡意套件,利用 npm/PyPI 解析順序。Postinstall hijack:skill 套件在安裝時就執行程式碼,在任何稽核之前。Author takeover:攻陷熱門 skill 的 publisher 帳號,推送惡意更新。Prompt-template poisoning:marketplace 上社群貢獻的 prompt 範本夾帶 injection 模式,範本執行時觸發。
PanGuard 的 Wild Scan(2026-04)量化了實際範圍。67,799 個被掃描的 skill 中,122 個有 postinstall script 在任何審查之前就跑。249 個具備 triple-threat 權限組合(shell + 網路 + 檔案系統)。1,096 個確認惡意。資料是公開的,方法是可重現的,raw dataset 可下載供獨立驗證。
防禦需要在三個時機做檢查。(1) Pre-install 透過 Skill Auditor(抓 typosquat、postinstall script、triple-threat、manifest 與行為不符)。(2) At-rest 透過簽章 evidence pack 與 SBOM 追蹤(用未簽章更新偵測 author takeover)。(3) Runtime 透過 PanGuard Guard(不管怎麼安裝進來的、payload 啟動時都能抓住)。ATR 的 skill-compromise 類別有 40 條規則針對這些模式。