摘要:6 月 9 日,国家互联网应急中心提醒,部分智能体技能包正在以"突破大模型限制""挖矿赚钱"等名义传播……这条预警表面上说的是安全问题,但更深一层,它提前揭开了 AI Agent 时代的一个新矛盾:当"能力"开始被打包、流通、下载、安装,Skill 就不再只是效率工具,而会变成新的攻击入口。
6 月 9 日,国家互联网应急中心提醒,部分智能体技能包正在以"突破大模型限制""挖矿赚钱"等名义传播,诱导用户安装或调用,进而带来模型输出违法内容、账号被封、设备资源被占用、甚至被卷入违法资金活动等风险。相关提醒还建议个人和企业加强来源审查、行为监控、权限控制和可疑组件清理。(新华财经)
这条预警表面上说的是安全问题,但更深一层,它其实提前揭开了 AI Agent 时代的一个新矛盾:当"能力"开始被打包、流通、下载、安装,Skill 就不再只是效率工具,而会变成新的攻击入口。
过去我们说插件风险,说的是浏览器扩展、手机 App、软件依赖库。现在轮到 AI Agent 了。
一、Skill 不是提示词收藏夹,而是 Agent 的行为改造器
很多人对 Skills 的理解还停留在"高级提示词"阶段。
比如,一个写作 Skill,告诉模型怎么写标题、怎么排版、怎么总结。一个 Excel Skill,告诉模型怎么清洗数据、生成图表、检查公式。一个代码审查 Skill,告诉模型按什么规范检查项目。
如果只是这样,风险似乎不大。
但真正的 Agent Skills 并不只是几段文字。按照 Anthropic 对 Agent Skills 的定义,Skill 可以是一个包含指令、脚本、资源文件、模板等内容的文件夹,Agent 会在合适任务中动态加载这些能力,用来完成特定工作。(Anthropic)
这就意味着,Skill 本质上不是"让模型说得更好"的东西,而是"让 Agent 按某种方式行动"的东西。
一旦 Agent 拥有文件读取、命令执行、联网搜索、调用 API、操作浏览器、访问企业系统的能力,Skill 就不再是静态知识,而会变成一套可执行的行为模式。
它会影响 Agent 判断什么任务该做、用什么工具做、访问哪些文件、调用哪些脚本、怎样解释用户意图,以及在哪些边界上绕过去。
这也是为什么恶意 Skills 会比恶意提示词更危险。
提示词通常只影响一次对话。
Skill 可能影响一类任务,甚至长期影响一个 Agent 的工作习惯。
二、Skill 生态正在出现"收藏癖"
现在很多人对 AI 工具的心态,和当年收藏浏览器插件、Notion 模板、Prompt 合集很像。
看到一个"100 个最强 Agent Skills",先收藏。
看到一个"让模型突破限制的神级 Skill",先下载。
看到一个"自动赚钱 Skill"“全平台内容生成 Skill”“黑客级效率 Skill”,先放进仓库。
这种心态可以理解。AI 发展太快,每个人都怕自己落后。于是"多装一点"“多备一点”“以后可能用得上”,变成了很多人的默认动作。
但 Skill 不是壁纸,不是模板,也不是普通收藏夹。
你收藏得越多,Agent 的行为边界就越模糊。
一个 Agent 同时加载太多来源不明、目标不清、权限不明的 Skills,最后可能会出现几类问题。
第一,能力膨胀。你以为 Agent 变强了,实际只是装了太多互相冲突的行为说明。一个 Skill 让它追求效率,另一个 Skill 让它绕过限制,第三个 Skill 让它优先调用外部脚本。Agent 并不会天然理解这些规则背后的风险,它只是在复杂指令之间寻找可执行路径。
第二,权限漂移。一开始某个 Skill 只是帮你整理文档,后来它需要读取本地文件,再后来需要访问云盘、调用脚本、连接数据库。每一步看似合理,但累积起来,就可能从"辅助工作"滑向"过度授权"。
第三,责任消失。一旦出了问题,用户会说是 Skill 写得坏,平台会说是用户自己装的,开发者会说自己只是提供工具,Agent 会说它按照指令执行。责任在多方之间被稀释,最后承担后果的往往还是使用者。
第四,安全盲区扩大。恶意 Skill 不一定一开始就表现得恶意。它可以先完成几个正常任务,建立信任,再在某个特殊场景里诱导 Agent 下载外部程序、读取敏感信息、修改配置文件,或把用户带向违规输出。
国家互联网应急中心提到的"越狱"和"挖矿"只是最容易被看见的两类风险。更隐蔽的风险,是大量低质量、不可审计、不可追踪的 Skills 进入个人和企业工作流之后,慢慢改变 Agent 的行为方式。
这才是真正值得警惕的地方。
三、Skill 越多,Agent 不一定越聪明
很多人有一个误区:既然 Skill 是能力包,那么能力包越多,Agent 就越强。
这其实是把 Agent 当成了传统软件。
传统软件的插件越多,功能确实可能越丰富。浏览器装翻译插件、截图插件、广告拦截插件、密码管理插件,每个插件通常有明确入口和明确功能。
但 Agent 不一样。
Agent 的核心不是"菜单",而是"判断"。
它要理解你的任务,选择路径,拆解步骤,调用工具,处理反馈。Skill 越多,它面对的行为建议、操作范式和任务解释也越多。
如果这些 Skills 质量很高、边界清楚、来源可信,当然可以提升效率。
但如果它们只是从网上随手下载的"神级技能包",Agent 很可能不是更聪明,而是更混乱。
这就像一个新人入职,你不是给他一本清晰的工作手册,而是扔给他一千份来路不明的经验帖、黑话文档、捷径教程和内部传说。最后他不是更懂业务,而是更容易误判。
真正好的 Skill,不应该是"越多越好"。
而应该是"越少越准"。
四、公共 Skill 的价值有限,私人 Skill 才是核心资产
Skill 生态最容易走偏的地方,是把它做成一个"应用商店"。
大家上传,大家下载,按热度排名,按收藏量推荐,按"最强"“万能”"一键完成"传播。
这种生态早期一定会很热闹。
但它也一定会很快泛滥。
原因很简单:真正有价值的 Skill,往往不是通用的,而是具体的。
一个公开的写作 Skill 可以告诉 Agent:文章要有标题、开头、论点、案例、结尾。
但它不知道你喜欢什么表达方式,不知道你的读者是谁,不知道你讨厌哪些词,不知道你常用什么结构,不知道你的观点边界在哪里,也不知道你以前写过什么。
一个公开的销售 Skill 可以告诉 Agent:先识别客户需求,再提炼痛点,再给解决方案。
但它不知道你公司的产品能力,不知道哪些承诺不能给,不知道客户历史关系,不知道合同底线,不知道内部审批规则。
一个公开的数据分析 Skill 可以告诉 Agent:先清洗数据,再做描述统计,再画图,再总结洞察。
但它不知道你们公司的指标口径,不知道哪些字段不能碰,不知道哪个数据源可信,不知道老板真正关心的是毛利、留存、库存周转还是现金流。
所以,公共 Skill 只能解决"通用动作"。
真正能让 Agent 变成你的工作伙伴的,是私人 Skill。
它不是网上下载来的,而是从你的工作方式里长出来的。
五、AI Agent 时代,Skill 应该是"生成"的,而不是"收藏"的
未来真正成熟的 Skill 系统,不应该鼓励用户到处下载技能包,而应该帮助用户从自己的实际工作中生成技能。
也就是说,Skill 不该是别人给你的,而应该是你的 Agent 在与你长期协作中,总结出来的。
比如你经常写行业观察文章。Agent 应该逐渐学会:
你喜欢先提出一个反常识判断;
你不喜欢堆概念;
你偏好从商业模式、组织结构、产业链和用户心理切入;
你写标题时喜欢有冲突感,但不喜欢标题党;
你不希望文章里出现太多套话;
你习惯在结尾落到一个更大的时代变化。
这些东西,不应该每次都靠你重新说一遍。
它应该沉淀成你的个人写作 Skill。
再比如你经常做投资研究。Agent 应该知道:
你更重视现金流而不是故事;
你看公司时先看商业模式,再看增长,再看估值;
你不接受没有来源的数据;
你希望它主动区分事实、判断和猜测;
你不希望它替你下结论,而是给出多种情景。
这也应该沉淀成你的研究 Skill。
再比如你在公司里做项目管理。Agent 应该知道:
哪些人需要提前同步;
哪些事项必须走审批;
哪些表达不能直接发给客户;
哪些风险要先内部消化;
哪些文档格式是公司标准。
这就是组织内的工作流 Skill。
它们不是"热门技能包"。
它们是你的工作指纹。
六、最好的 Skill,应该知道你"不想让它做什么"
现在很多 Skill 的问题,是只强调"能做什么"。
能写爆款。
能自动跑代码。
能突破限制。
能调用工具。
能批量生成。
能帮你赚钱。
但真正可靠的 Agent Skill,更重要的是知道"不能做什么"。
不能越过你的审批边界。
不能访问无关文件。
不能把内部材料当成公开信息。
不能为了完成任务而绕过安全限制。
不能把未经核实的信息写成确定事实。
不能替用户做高风险决策。
不能为了效率牺牲合规。
好的 Skill 不只是能力说明书,更是边界说明书。
它应该同时包含三类内容:
第一,流程:遇到这类任务,通常应该怎么做。
第二,偏好:这个用户或组织更喜欢什么风格、标准和判断方式。
第三,禁区:哪些事情无论任务看起来多合理,都不能自动执行。
如果一个 Skill 只有"加速能力",没有"约束能力",它越强越危险。
七、企业不该建 Skill 市场,而该建 Skill 白名单
对企业来说,Skill 风险比个人用户更大。
个人电脑被挖矿,损失可能是性能、电费、账号和隐私。
企业 Agent 如果装了恶意 Skill,风险可能是代码泄露、客户数据泄露、财务凭证泄露、内部流程被绕过,甚至业务系统被误操作。
国家互联网应急中心此前也在智能体安全建议中提到,应对智能体依赖的第三方组件和技能插件建立安全管理制度,新技能模块引入前要经过安全审核和测试,并建议企业内部使用已审核的代码仓库存储技能代码,避免运行时直接获取并执行未存档代码。(中国信息安全证书中心)
这说明企业级 Skill 管理,不能靠员工自觉。
它需要制度化。
企业未来应该有自己的 Skill 白名单,而不是让员工随便从网上下载。
每一个进入企业 Agent 的 Skill,都应该回答几个问题:
它来自哪里?
谁维护?
谁审核?
它会访问哪些数据?
它会调用哪些工具?
它有没有外部依赖?
它能不能执行脚本?
它有没有版本记录?
它出了问题谁负责?
它能不能被一键停用?
这些问题没有答案,就不应该进入生产环境。
八、Skill 收藏癖背后,是对"能力焦虑"的误解
为什么人们会疯狂收藏 Skills?
因为大家都以为,AI 时代的竞争是"谁拥有更多工具"。
但这可能是错的。
AI Agent 时代真正的竞争,不是你下载了多少 Skill,而是你能不能把自己的经验、偏好、判断标准和工作流程,转化成 Agent 可以稳定复用的能力。
换句话说,未来的个人生产力差距,不在于谁的工具栏更长,而在于谁更会训练自己的 Agent。
同样用一个模型,有的人只能让它写通用文章,有的人能让它持续输出符合自己风格的深度内容。
同样用一个 Agent,有的人只能让它机械执行任务,有的人能让它理解自己的业务判断。
同样装了数据分析工具,有的人只能得到图表,有的人能得到符合自己决策框架的洞察。
差距不在模型本身。
差距在个性化 Skill。
九、未来的 Skill,应该像私人知识库一样被保护
如果 Skill 真的是一个人的工作方式沉淀,那它就不应该被轻易公开分享。
你的私人 Skill 里,可能包含你的写作习惯、商业判断、客户流程、组织规则、数据口径、风险边界、沟通风格。
这些东西看起来不像密码,但其实很敏感。
因为它们能让一个 Agent 模仿你、接近你、替代你的一部分工作判断。
未来,真正重要的 Skill 可能会分成三层。
第一层是公共基础 Skill,比如处理 PDF、生成表格、制作演示文稿、整理会议纪要。这类 Skill 可以标准化,但必须来源可信、权限有限。
第二层是组织 Skill,比如公司的销售流程、法务审查规则、代码规范、品牌语气、财务制度。这类 Skill 应该由企业统一维护、审计和更新。
第三层是个人 Skill,比如你的表达风格、研究方法、决策偏好、工作节奏、禁忌边界。这类 Skill 最不该随便共享,它应该像私人笔记和密钥一样被保护。
真正的问题不是"有没有 Skill 商店"。
而是每个人、每家公司是否有能力维护自己的 Skill 资产。
十、AI Agent 的未来,不是万能技能包,而是个人能力操作系统
这次 CNCERT 的预警提醒我们,AI Agent 时代的恶意软件,可能不再长得像传统病毒。
它可能披着"效率工具"的外衣。
它可能叫"万能助手"。
它可能宣称"突破限制"。
它可能承诺"自动赚钱"。
它甚至可能真的在前几个任务里表现得很好。
但只要它能改变 Agent 的行为,只要它能诱导 Agent 访问资源、执行脚本、调用外部程序,它就已经进入了新的安全边界。
所以,Skill 生态接下来最重要的方向,不应该是无限扩张,而是回到三个词:
个性化、可审计、可撤销。
个性化,意味着 Skill 应该从用户真实工作中生成,而不是从互联网热榜里批量下载。
可审计,意味着 Skill 的来源、权限、脚本、行为记录都要能被检查。
可撤销,意味着一旦发现异常,用户和企业能够立刻禁用、回滚、隔离,而不是让它继续潜伏在 Agent 的能力系统里。
AI Agent 真正需要的,不是几百个来路不明的技能包。
它需要的是一套干净、克制、贴合自己工作方式的技能系统。
未来最有价值的 Skill,也许不是那个被最多人下载的 Skill,而是那个只适合你、只服务你、只理解你边界的 Skill。
越通用的 Skill,越像工具。
越个性化的 Skill,越像能力。
而在 Agent 时代,真正稀缺的不是工具,而是把个人经验变成可复用能力的能力。