Locate-and-Judge:用注意力检测恶意智能体技能
2026 年 6 月的一篇论文扫描了三个市场约 13.4 万个智能体技能,确认了 131 个仍在流通的恶意技能,利用指令跟随注意力揭露隐藏在看似无害文件中的载荷。
这是什么?
2026 年 6 月 22 日发表于 arXiv 的论文《Detecting Malicious Agent Skills in the Wild using Attention》(卢森堡大学)针对一个迅速膨胀却几乎无人防护的供应链攻击面:智能体技能(skills)。技能是一种基于文件的软件包——一个包含自然语言指令、可选辅助代码的 SKILL.md 文件——LLM 智能体按需加载,并以用户权限执行。技能通过第三方市场流通,因此智能体经常会执行由未知作者编写的指令。单个恶意技能就可能窃取数据、劫持智能体,或作为仅在特定触发条件下激活的驻留立足点长期潜伏。
作者作出两项贡献。其一是一种检测方法 Locate-and-Judge,成本足够低,可审计整个市场而非仅抽样。其二更令人警醒:他们扫描了三个公开市场(Lobehub、Skills.sh、Clawhub.ai)中约 13.4 万个在流通的技能,发现 131 个经人工确认的恶意技能——如今即可安装——其中相当一部分能绕过现有扫描器。这项工作在设计上是防御性的:它在危险技能进入智能体上下文之前就将其检出,且作者在发表前已将每个确认案例通报给相关市场。
工作原理
核心难点在于,经典的提示注入防御无法迁移到技能场景。这些防御假设在可信指令与不可信数据之间存在边界。而技能没有这种边界:它整体就是一组指令,因此恶意命令会混入合法指令之中并继承其权限。基于注意力的注入检测器会标记那些吸引模型指令跟随注意力的内容,但在此同样失效,因为在技能中,对指令的注意力本就无处不在。
Locate-and-Judge 通过将定位与分类分离来恢复该信号。首先,一个确定性解析器沿技能的结构接缝(标题、段落、列表、代码块、元数据)将其切分。随后,一个轻量级”定位器”——一个小型读取模型——在整个技能上运行,按每个片段吸引指令跟随注意力的强度对其排序,只保留排名靠前的少数片段。其前提虽窄却有效:注入要生效,就必须吸引读取模型的注意力,因此即使被合法文本淹没,它也会跻身最显著的片段之列。最后,一个更强的”判定器”以零样本方式仅阅读被保留的片段,判断其中是否含有恶意指令;若最高分超过校准阈值,则该技能被标记。将昂贵的判定集中在少数高注意力片段上,正是使市场级扫描变得可负担的关键。
为何重要
数据是关键。对市场的完整扫描花费约 34 美元,发送给判定器的 token 数约为逐一通读每个技能的 1/2.8,却检出了更多真正要紧的威胁。在 131 个确认的恶意技能中,有 82 个是”隐藏型”——伪装成普通工具却携带载荷。该方法对这一隐藏类别的召回率为 83%,而由同一判定器执行的全文扫描仅为 45%;被比较的生产级扫描器几乎漏掉了所有不明显的案例。在伪装技能中,主要目标是凭证与密钥窃取,以及在安装时下载并执行代码的恶意安装器;论文描述了真实示例,例如一个”部署准备”工具会搜刮 .env、.pem、.key 文件并在无确认下上传,或一个”编码助手”将 base64 dropper 解码为 curl | bash 单行命令。
更广泛的教训是:技能市场是一条鲜活而缺乏审计的供应链,而多数团队用于审查技能的工具,是围绕关键词和干净的指令/数据边界校准的——而隐藏型技能恰恰就是为击败这些而编写的。
防御
将每个第三方技能都视为不可信代码。 技能以用户权限运行,其指令携带真实权限。应在其加载进智能体上下文之前审查,而非之后。
不要只依赖关键词或正则扫描器。 隐藏型恶意技能是专门为击败词法模式而编写的,在本研究中其中大多数都绕过了生产级关键词扫描器。请将词法检查与一个能推理意图的模型结合使用。
在规模上优先采用语义化、片段级的审查。 Locate-and-Judge 的实用启示是:可以将昂贵的分析集中在真正吸引指令跟随注意力的少数片段上,从而使审查大型目录变得可负担,而非遥不可及。
警惕外泄与安装时执行。 对含密文件的凭证搜刮,以及从硬编码 IP 下载代码的安装器,是两种主要模式。应标记那些在配置期间读取 .env/密钥文件或运行网络安装器的技能。
对被标记的技能保留人工复核。 该方法以”逐条告警复核”的保守阈值部署。自动检测缩小了范围,但在加入白名单之前仍应由人确认。
考虑静态审查会遗漏的部分。 逐技能分析无法捕捉跨技能链条(一个无害技能指示智能体去安装一个恶意技能),单行内联安装器也可能逃过分段。应将静态审查与运行时监控和最小权限隔离相结合。
状态
| 项目 | 参考 | 说明 |
|---|---|---|
| 核心论文 | arXiv:2606.23416 | 《Detecting Malicious Agent Skills in the Wild using Attention》,2026 年 6 月 22 日 |
| 方法 | 同一论文 | Locate-and-Judge:注意力定位器(小型读取 LLM)+ 对 top-K 片段的零样本判定器 |
| 实地扫描 | 同一论文 | 约 13.4 万个技能,3 个市场;确认 131 个恶意(82 个隐藏型),精确率约 83%,约 34 美元 |
| 成本 | 同一论文 | 发送给判定器的 token 约为全文扫描的 1/2.84 |
| 相关 | arXiv:2602.06547 | 《Malicious Agent Skills in the Wild》——大规模实证研究(2026 年 2 月) |
| 相关 | arXiv:2606.07131 | MalSkillBench——运行时验证的恶意智能体技能基准(2026 年 6 月) |
持久的启示是:技能市场如今已是一等的供应链攻击面。为”可信指令/不可信数据”分离而设计的防御,在整个工件都是指令时并不适用;因此审查必须在片段层面推理意图——成本低到足以覆盖整个目录,并辅以对其所标记内容的人工复核。