深潮 TechFlow 消息,03 月 12 日,據 GoPlus Security(@GoPlusSecurity)發佈,其安全引擎 AgentGuard 對 ClawHub 下載量前 100 的 AI Agent 技能完成全量掃描,結果顯示:21% 技能被直接攔截(高危),17% 標記為警告,62% 通過檢測。
高危技能主要涉及無頭瀏覽器自動化(如 agent-browser)、郵件與通訊控制(如 agentmail、WhatsApp Business)、高權限企業 SaaS API(如 Google Workspace Admin、Feishu)及深度搜索抓取工具等,存在 SSRF 攻擊、提示注入、數據篡改等風險。
報告建議對高危技能強制引入"人類在環"(HITL)確認機制,並對搜索類技能返回內容進行嚴格過濾,防範間接提示注入風險。
添加收藏
分享社交媒體
