这是什么
360 SkillsGuard(360沙箱云 SKILLS分析平台)是 360 推出的一款专门针对 AI Agent Skills 进行安全风险检测的在线平台。
如果把 Skills 理解为 AI Agent 的”能力插件”——每个 Skill 赋予 Agent 一项特定的能力(执行代码、操作文件系统、调用 API、访问数据库等)——那么 SkillsGuard 做的事情就是:对这些 Skill 做安全扫描,告诉你哪一个可能有风险、风险在哪、有多严重。
为什么需要它
AI Agent 生态正在快速膨胀。以 OpenClaw 的 ClawHub 为例——上面已经有超过 56000 个 Skills,覆盖从代码执行到系统管理、从数据库操作到网络通信的各种能力。
但 Skills 的发布是去中心化的:任何开发者都可以上传自己的 Skill。这就带来了几个显性的安全问题:
- 恶意 Skill:看上去人畜无害的 Skill,可能在后台执行提权操作或窃取数据
- 权限越界:一个只需要读文件的 Skill,却声明了执行任意代码的能力
- 供应链污染:依赖三方库的 Skill,可能通过下游依赖被植入后门
SkillsGuard 要解决的就是这个问题——不是依赖开发者自觉,而是用自动化分析手段,在 Skill 被部署之前就识别出风险。
检测能力
SkillsGuard 采用了三管齐下的技术路线:
1. LLM 静态分析
用大语言模型对 Skill 的源代码和描述文本进行语义分析。这比传统的正则匹配更有效——不是去找”关键词黑名单”,而是理解 Skill 的意图:它声称做什么,它实际上可能做什么。
2. 沙箱动态检测
在隔离环境中实际运行 Skill,观察它的运行时行为——访问了哪些文件、调用了哪些系统 API、发出了哪些网络请求。静态分析可能遗漏的隐匿行为,在沙箱中会暴露出来。
3. ATT&CK 映射
将检测到的风险行为映射到 MITRE ATT&CK 知识库的战术和技术分类。这层映射使得风险不再是抽象的”有问题”,而是可归类的:是持久化(Persistence)?是权限提升(Privilege Escalation)?还是数据泄露(Exfiltration)?
三种手段叠加,覆盖了从代码层面到行为层面再到行业标准的全链路检测。
风险维度
平台目前定义了 6 个风险维度:
| 风险维度 | 描述 |
|---|---|
| 代码执行 | Skill 具备在本地或远程执行任意代码的能力 |
| 数据泄露 | Skill 可能将敏感数据传输到外部 |
| 权限提升 | Skill 可能突破既定权限边界 |
| 持久化 | Skill 可能在系统中建立持久化机制 |
| 网络通信 | Skill 可能进行可疑的网络交互 |
| 供应链 | Skill 的依赖可能存在风险 |
每个 Skill 还会获得一个风险评分(0-10 分),并标注风险等级:安全、低风险、中风险、高风险、严重。
当前数据一览
截至 2026 年 6 月,SkillsGuard 已分析 56,194 个 Skills:
| 风险等级 | 数量 | 占比 |
|---|---|---|
| 安全 | 34,244 | 60.9% |
| 低风险 | 11,994 | 21.3% |
| 中风险 | 7,513 | 13.4% |
| 高风险 | 2,428 | 4.3% |
| 严重 | 15 | 0.03% |
约 18% 的 Skills 存在中高风险及以上的安全问题。这个比例相当高——意味着你从公开市场下载的每 5-6 个 Skill 中,就有一个可能有中高风险的问题。
平台功能
从使用体验来看,SkillsGuard 具备几个实用功能:
浏览与搜索:按类别、来源、风险等级、风险维度筛选,按风险评分或更新时间排序。平台目前支持 11 个功能类别(文件系统、网络、数据库、代码执行、网页浏览、API 集成、数据处理、系统管理、AI/ML、通信等)。
多来源聚合:目前覆盖 ClawHub(56,191 个)和 Skills.sh(3 个),未来可能扩展到 GitHub、SkillsMP 等更多来源。
详细检测结果:每个 Skill 都有独立的检测状态——已完成、沙箱检测中、待分析等。严重风险 Skill 的评分分布在 8.0-9.2 之间,最高分的往往是那些声称”可以执行任何用户指令”或”忽略所有限制”的恶意型 Skill。
与 VirusTotal 的类比
SkillsGuard 的定位很容易让人联想到 VirusTotal——VirusTotal 是文件安全分析的聚合平台,使用者上传一个文件,多个引擎同时检测,输出一份综合报告。SkillsGuard 对 AI Agent Skills 做的,本质上是一样的事情:输入一个 Skill,输出一份安全分析报告。
但 SkillsGuard 更进一步——它不是让开发者手动上传,而是自动从 Skills 市场抓取、分析、展示结果。更像一个”主动巡检”而非”被动扫描”的体系。
在 Agent 安全生态中的位置
360 做这件事有其天然的合理性——它本身就是国内最大的安全公司之一,在传统恶意软件检测、沙箱技术上有长期积累。SkillsGuard 可以看作是这套能力向 AI Agent 领域的一次延伸。
从行业角度看,SkillsGuard 的诞生说明两件事:
- Agent Skills 的安全问题已经到了需要专门工具的阶段。56000+ 个 Skills 的规模,靠人工审核已经不现实
- Skill 安全分析正在从学术研究走向产品化。静态分析 + 沙箱动态检测 + ATT&CK 映射的组合方案,比单一手段更可信
这与最近几周密集出现的 Agent 安全动态(Anthropic 警告不要信任 Agent、五眼联盟发布 Agent 安全指南、AI CERTs 的治理手册)形成了呼应——安全基础设施正在追赶 Agent 生态的扩张速度。
参考链接:
- 360 SkillsGuard 平台:https://ata.360.net/skillsguard
- 相关阅读:Anthropic 警告开发者:不要默认信任你自己的 AI Agent
- 相关阅读:五眼联盟联合发布《Agentic AI 系统安全指南》
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/360-skillsguard-agent-skills-security.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)