Skill 是 AI agent 擴充能力的最小單位。在 Claude 生態系裡,SKILL.md 檔案宣告 skill 做什麼、需要哪些工具、申請哪些權限。在 MCP(Model Context Protocol)裡,server 套件暴露 agent 可以呼叫的 typed tools。在 OpenClaw、ClawHub、Skills.sh,skill 各有自己的 manifest 格式。共同形狀:一份 manifest 描述意圖,agent 讀 manifest,agent 決定要不要安裝或呼叫。
安全風險出現在兩個地方。安裝時,agent(或使用者)讀 skill manifest 決定要不要安裝。如果 manifest 不誠實——說做 X 但實際做 Y——使用者就被騙了。Runtime 時,每次呼叫都會重新讀工具描述,所以被投毒的描述每次都生效。不像瀏覽器擴充功能(一次性安裝同意)或手機 App(App Store 審核),agent skill 目前沒有任何集中審核流程。
PanGuard 的 Wild Scan(2026-04)爬取了 96,096 個 skill,分布:ClawHub (36,378)、OpenClaw (56,503)、Skills.sh (3,115)、Hermes-protocol 樣本 (100)。其中 67,799 個有可解析內容,1,096 個(1.6%)確認惡意,11,324 個有至少一個威脅訊號。249 個套件同時具備 shell、網路、檔案系統存取——「triple threat」組合,讓被攻陷的 skill 可以外送資料、安裝後門、保持持續性。122 個套件有 postinstall script,在任何審核之前就執行程式碼。
解法是兩層。PanGuard Skill Auditor 用 8 個 pre-install check 掃 manifest 與程式碼。PanGuard Guard 在 runtime 強制執行 ATR 規則,即使被安裝的 skill 也無法做超出宣告權限的外送、提權、持續化。Adam Lin:「npm 生態系花了 12 年才有 npm audit。Agent 生態系等不起這麼久。Skill Auditor 應該是 npm audit 從第一天就該長成的樣子。」