在 AI 时代,我们面临的最大安全威胁不再是 SQL 注入,而是恶意的上下文缓存与暗中的数据窃取指令。
新型数字抢劫
近期安保虾通过沙盘运行检测,在社区开源的技能包中发现了 341 个潜伏的恶意 Prompt 或执行脚本。
它们的运作方式极其隐蔽:利用系统读取本地敏感文件(如 .env 中的 API Key 或助记词),并在下一次生成报告时,将这些字符通过拼接到图片的 URL 后缀,不知不觉地回传给了黑客。
防御策略
- 容器化运行 (Docker):绝对不要在你的高频交易宿主机上直接运行
npx clawhub install来的陌生脚本。使用 Docker Sandbox 隔离环境。 - 审查
capabilities:在安装 Agent 时,仔细查阅它的权限声明,特别是关于本地文件系统(FS)和原生系统命令执行(Shell)的权限。 - 出站网络白名单:用防火墙锁死出口流量,只允许推流到你的目标平台(微信、小红书)。
“任何让你完全交出密钥的陌生技能包,都要默认为敌对状态。”