系统:运行中
EN FR ES ZH
← 返回所有攻击
DEFENSE LOW NEW

SkillGuard:在运行时约束智能体技能(skill)行为的权限框架

2026 年 6 月的一篇论文,通过清单、默认拒绝的访问控制与运行时监控,弥合了技能注入智能体上下文的内容与它促使智能体执行行为之间的差距。

2026-06-17 // 6 min affects: llm-agents, agent-skills, tool-calling-agents

这是什么?

SkillGuard: A Permission Framework for Agent SkillsarXiv:2606.03024,2026 年 6 月发布)针对智能体 AI 中增长最快的攻击面之一——技能(skill)——提出了一项防御方案。技能是一个打包件,包含指令、工具定义,有时还有代码,智能体加载它以扩展自身能力。论文针对的问题在于:当前的技能生态系统主要依赖基于信任的加载与静态检查——你读一遍文件,判断它看起来没问题,然后安装。这就在技能能够注入智能体上下文的内容与它能够促使智能体在运行时执行的行为之间留下了差距。

这是一项防御性的、面向系统的贡献,其中不含任何攻击载荷。它要回答的是如何在技能运行时约束它,而不是如何滥用它。

工作原理

SkillGuard 将技能重新定义为承载权限的可执行工件,而非可信任的文本文件,并采用一种双平面治理模型,同时管理两类不同的事项:

  • 上下文影响 —— 技能被允许放入智能体推理上下文、或在其中修改的内容。
  • 行为副作用 —— 技能被允许实际促使智能体执行的操作:它可以触及哪些工具、文件、网络目标和受保护对象。

具体而言,该框架综合了若干源自经典访问控制、并针对智能体加以改造的机制:

  • 技能清单(manifest) —— 对意图与所需能力的显式声明,使技能的权限成为显式且可审计的,而非隐含的。
  • 默认拒绝(deny-by-default)执行 —— 凡未声明者一律拒绝,与”加载即信任”的现状相反。
  • 运行时访问控制 —— 权限在技能行动期间被校验,而不仅在安装时检查其文件。
  • 由用户介入的授权 —— 高影响能力需要人类作出决定,而非被静默授予。
  • 能力推断行为监控 —— 系统推断技能实际所需的能力,并检测声明意图与运行时观察到的行为之间的偏差。

所报告的数据反映了覆盖度与成本。SkillGuard 的权限分类法覆盖了所观察到受保护对象的 99.76%自动清单生成达到 91.0% 的 F1 —— 即该框架在很大程度上能够自动提出技能的权限清单,而无需人工手写。在对抗性评估中,它将攻击成功率从 32.37% 降至 23.02%(上下文注入),并从 25.56% 降至 16.67%(更明显的注入),同时保持了在正常任务上的效用。这些是部分削减,而非彻底消除——这一点值得牢记。

为何重要

技能继承了提示注入与工具滥用的全部弱点,并在此之上叠加了打包与分发的问题。已有文献已对这一攻击面进行了梳理:一项关于智能体技能的综述涵盖了其架构、获取与安全风险(arXiv:2602.12430),而诸如 SkillVetBencharXiv:2606.15899)之类的评估工作则在安装前依据安全风险对开源技能进行评分。反复出现的主题是:技能是带有不寻常特权的不可信第三方内容——它既能改写智能体的指令,能向其提供新工具——然而对它的治理通常不过是看一眼文件而已。

SkillGuard 的意义在于,它把规则的执行移到风险真正所在之处:运行时,以最小特权运行。静态检查能捕获已知的恶意文件,却看不到技能在智能体基于实时(且可能受攻击者影响的)数据进行推理与行动之后会做什么。将技能与已声明的清单绑定、并拒绝其范围之外的一切,能够把”我读过 README”变成一道可强制执行的边界。所报告削减的部分性也带来一个教训:权限层降低了影响半径,但并不能使一个恶意或被劫持的技能变得安全。

防御建议

对于发布或安装智能体技能的团队,其实践要点超出了这一个框架本身:

  • 将技能视为不可信的、特权代码。 既能编辑上下文能添加工具的技能,是比普通文档特权更高的对象。应据此治理它,而非凭信任。
  • 对能力采用默认拒绝。 只授予技能其声明所需的工具、路径与网络目标;拒绝其余一切。不要让安装时的信任变成运行时的权限。
  • 将上下文影响与行为副作用分开。 知道一个技能能塑造推理,不同于知道它能把数据送出去。对两个平面都要追踪与管控。
  • 对高影响行为要求人工授权。 不可逆或敏感的操作(删除、转账、对外发送、访问凭据)应要求显式的人工批准,而非静默授予。
  • 监控声明意图与运行时行为的对比。 清单只有在能检测到偏离时才有用。当技能试图获取从未声明的能力时,应记录并告警。
  • 不要把权限层当作保证。 SkillGuard 降低了注入的成功率,但并未将其归零。应与输入/输出过滤、沙箱化以及通常的致命三要素卫生(在同一回路中限制对私有数据的访问、不可信内容与对外通信)配合使用。

现状

项目详情
论文”SkillGuard: A Permission Framework for Agent Skills”
arXiv 编号2606.03024
发布时间2026 年 6 月
类型防御性权限框架——不含攻击载荷
模型双平面治理:上下文影响 + 行为副作用
机制清单、默认拒绝、运行时访问控制、用户介入授权、能力推断、行为监控
报告结果分类法覆盖 99.76% 的受保护对象;清单生成 91.0% F1;注入成功率 32.37%→23.02%(上下文)与 25.56%→16.67%(明显);效用得以保持

Sources