一個完全透明、完全按説明工作的 Skill,同樣可能把素材發往外部、用企業 Key 訪問第三方、對系統做寫操作。它不「惡意」,卻足以越過企業的准入邊界
從「它是不是惡意」,到「它被啓用後會讓 Agent 獲得什麼、觸達什麼、改變什麼」。
不再是二元的 safe / malicious,而是 block / need_review / pass——把「合法但高影響」與「確認惡意」徹底分開。
覆蓋輸入可見性、指令與運行時執行、Agent 權限與身份、數據與記憶、資產成本與現實動作、濫用規避、供應鏈生態。
不因出現關鍵詞就阻斷,而按證據強度分層——從説明級提及,到命令配置、可執行鏈路,直至運行時持久化。
從構建文件乃至自然語言安裝意圖中抽取依賴候選,與投毒情報庫做版本級比對,堵住傳統工具漏報路徑。
每一條結論都帶精確到行號的證據與處置建議,可審計、可複核,杜絕「關鍵詞命中即下結論」。
三級判定可直接嵌入 CI/CD 與 Skills 市場準入,導出 JSON 直連 SCA/SBOM、IAM/DLP、SIEM/SOAR 與工單。
解析 Skill 清單與實現,還原其真實能力邊界——文件、網絡、命令執行、密鑰訪問,並標記高危能力。
從 SKILL.md 與實現提取真實權限。
識別聲明之外的隱藏能力。
命令執行、密鑰讀取等優先告警。
比對依賴來源與命名特徵,識別仿冒包(typosquat)、被劫持版本與惡意注入,命中即攔截告警。
捕捉近似命名的 typosquat 包。
校驗發佈者與版本完整性。
命中即告警並阻斷引入。
以「Skills-for-Skills」的思路,讓審計流程本身可動態加載與擴展。
基礎靜態掃描,排除明顯惡意樣本,相當於傳統 SAST/SCA 覆蓋的部分。
把 SKILL.md 的自然語言描述與實際代碼行為做語義對齊,檢測「説一套做一套」。
結構化標籤與證據分級評估單 Skill,並識別多 Skill 協同湧現的攻擊鏈。