来源: 日期:2026-05-29点击:
近日,国家信息安全漏洞共享平台(CNVD)发布风险研判报告,龙虾(OpenClaw)等主流智能体系统中,多款第三方技能包(Skills)存在高危安全漏洞。不法分子可利用漏洞执行越权操作,或诱导用户触发高危指令,进而窃取个人敏感信息、篡改智能体运行逻辑,造成数据泄露、资产受损等一系列安全问题。
在此提醒全校师生、各部门工作人员及校内系统运营单位,提高安全防范意识,严格核查技能包来源,规范权限管理,及时清理可疑组件,筑牢校园网络安全防线。
部分技能包伪装成办公辅助、数据分析、效率工具等常规应用,后台暗藏恶意执行代码。当智能体加载运行此类组件时,会在用户不知情的情况下自动下载、运行木马程序,直接威胁个人隐私与数据安全。
例如 yahoofinance、bybit-trading 等技能包,假借自动交易、脚本辅助等名义传播,内置窃密木马。该类恶意插件可绕过常规安全防护,一旦启用,便会在后台窃取设备登录密码、业务凭证等核心信息。目前相关恶意组件已有上万次下载量,暴露了第三方AI工具库审核不严的问题,存在大范围安全隐患。
另有部分技能包捆绑非正规插件与第三方服务,诱导用户参与付费项目、违规交易等行为,看似实用的智能工具,实则成为恶意引流、违规牟利的渠道。
名为 MoltsPay 的技能包谎称提供钱包管理服务,会在本地生成加密货币钱包,并以注册赠送代币为诱饵,引导用户参与虚拟货币交易。该行为存在多重风险:我国早已明令禁止虚拟货币兑换、交易及钱包服务等相关活动;平台设置高额提现门槛,逼迫用户持续绑定外部平台完成任务,极易陷入资金陷阱;同时钱包私钥以明文存储在本地,一旦设备遭受入侵,数字资产将被盗且无法追回。
技能包 yanpan-finance 宣称可提供股票分析、研报解读等服务,但其并未接入官方认证通道,而是引导用户跳转至外部第三方MCP服务,要求通过社交账号私下获取授权密钥。该模式风险突出:授权流程脱离正规监管,服务资质、收费规则、数据用途均不透明,易产生隐性扣费问题;提交授权信息后,账号数据、使用记录存在泄露风险;外部服务还可能植入恶意指令,引发数据篡改、供应链攻击等安全事件。
三、校园安全管控
针对当前智能体技能包高发安全风险,为全面筑牢校园网络安全屏障,守护校内数据、师生个人信息及设备安全,学校明确严格管控校园智能体第三方技能包使用行为。全校师生及教职工须严格注重网络安全,坚决不从非官方渠道下载、安装各类AI智能体技能包与第三方插件,严禁在校内设备、校园网络中使用虚拟货币交易、陌生第三方授权、违规金融引流等风险智能工具;使用正规智能应用时严格恪守最小权限原则,不随意开放设备、文件、账号敏感权限,绝不利用智能工具处理、传输、存储校内涉密资料、办公数据及个人隐私信息,同时定期自查设备插件、授权记录,及时卸载可疑、闲置工具,清理敏感缓存数据,从源头杜绝各类安全隐患。
全校范围内非必要一律禁止使用各类第三方智能体技能包、外部AI插件及不明智能工具。当前此类组件隐蔽性风险极高,无安全保障,极易引发木马入侵、数据泄露、违规引流、财产受损等安全事件,全体人员须自觉杜绝使用,规避各类网络安全风险。
地址:吉林省四平市铁西区果园街217-3号[136000]
办公电话:0434-6090960
邮编:136000
版权所有:吉林师范大学博达万博体育官网信息技术中心
