一个完全透明、完全按说明工作的 Skill,同样可能把素材发往外部、用企业 Key 访问第三方、对系统做写操作。它不“恶意”,却足以越过企业的准入边界
从“它是不是恶意”,到“它被启用后会让 Agent 获得什么、触达什么、改变什么”。
不再是二元的 safe / malicious,而是 block / need_review / pass——把“合法但高影响”与“确认恶意”彻底分开。
覆盖输入可见性、指令与运行时执行、Agent 权限与身份、数据与记忆、资产成本与现实动作、滥用规避、供应链生态。
不因出现关键词就阻断,而按证据强度分层——从说明级提及,到命令配置、可执行链路,直至运行时持久化。
从构建文件乃至自然语言安装意图中抽取依赖候选,与投毒情报库做版本级比对,堵住传统工具漏报路径。
每一条结论都带精确到行号的证据与处置建议,可审计、可复核,杜绝“关键词命中即下结论”。
三级判定可直接嵌入 CI/CD 与 Skills 市场准入,导出 JSON 直连 SCA/SBOM、IAM/DLP、SIEM/SOAR 与工单。
解析 Skill 清单与实现,还原其真实能力边界——文件、网络、命令执行、密钥访问,并标记高危能力。
从 SKILL.md 与实现提取真实权限。
识别声明之外的隐藏能力。
命令执行、密钥读取等优先告警。
比对依赖来源与命名特征,识别仿冒包(typosquat)、被劫持版本与恶意注入,命中即拦截告警。
捕捉近似命名的 typosquat 包。
校验发布者与版本完整性。
命中即告警并阻断引入。
以“Skills-for-Skills”的思路,让审计流程本身可动态加载与扩展。
基础静态扫描,排除明显恶意样本,相当于传统 SAST/SCA 覆盖的部分。
把 SKILL.md 的自然语言描述与实际代码行为做语义对齐,检测“说一套做一套”。
结构化标签与证据分级评估单 Skill,并识别多 Skill 协同涌现的攻击链。