【当AI技能商店遇上恶意软件：一场注定会来的安全危机】

ClawHub上线不到两周，下载量最高的技能就被发现藏有恶意软件。这个速度，堪称黑客界的闪电战。

事情是这样的：一个看起来人畜无害的Twitter技能，描述正常，用途清晰，就是你会毫不犹豫安装的那种。但它做的第一件事，是让你安装一个所谓的“必要依赖”，附带几个看似文档链接的地址。

这些链接指向的是恶意基础设施。

整个攻击链条堪称教科书级别：先让AI代理执行一条命令，解码并运行混淆后的载荷，下载第二阶段脚本，最后绕过macOS的安全扫描机制。一气呵成。

有人说这是npm的leftpad事件重演，是PyPI域名抢注的翻版。每个包管理生态都要交一次学费。但这次不一样：AI技能可以直接执行shell命令，还带着你的凭证。爆炸半径大了不止一个量级。

更棘手的是，传统恶意代码需要混淆才能藏身，而AI技能的恶意指令可以用自然语言伪装。你很难一眼看出“请先安装这个依赖”背后藏着什么。

目前ClawHub的安全机制几乎为零，唯一的防线是三个差评就隐藏技能。有开发者已经选择禁用ClawHub，只使用自己编写和审核过的技能。

这件事的本质是：我们正在以惊人的速度拥抱AI代理，却把安全这件最关键的事抛在了身后。当你把密钥和数据交给一个外部服务，当你让AI代理替你执行命令，你其实是在信任一整条你看不见的供应链。

浏览器花了二十年建立起HTTPS这样的安全协议。终端环境的AI代理，现在连起跑线都还没画好。

好消息是，这个漏洞在被披露后很快得到了修补，平台增加了VirusTotal扫描和举报功能。坏消息是，这只是开始。只要存在用户生成内容加代码执行的组合，这类攻击就永远不会停止。问题从来不是会不会发生，而是什么时候发生。

对于普通用户，建议很简单：对任何第三方技能保持警惕，尽可能审核你安装的每一行代码。在这个AI代理遍地开花的时代，信任需要验证，便利需要代价。

x.com/DanielLockyer/status/2019422410018267328