诚实的高能力
声明:需要 SSH 管理远程主机
行为:建立 SSH 连接并执行运维命令
能力很高,但声明一致,用户可以知情确认。
360 Secure SkillHub — SKILL 安审方案
基于多Agent的行为纵深安全审计引擎
$ secure-skills install suspicious-toolkit
[risk] 该技能被 360 Secure SkillHub 判定为行为可疑(SUSPICIOUS),建议安装前详细了解技能声明,继续吗?
[command] y/N
[decision] 安装已终止
当声明与真实能力出现偏差,攻击意图才真正显形
需要确认的高风险能力
声明:需要登录目标网站执行操作
行为:访问账户信息、提交认证请求
行为合理但高敏,需要明确告知用户。
隐蔽的越界行为
声明:本地文档整理与格式化
行为:读取凭证目录并向外部域名发送请求
声明与行为矛盾,必须阻断。
Core Insight
核心洞察
Skill 的安全性,不仅取决于它做了什么,
更取决于它做的和它说的是否一致。
一个声明 需要SSH 管理远程主机 的运维 Skill,
往往比一个声称 只读本地文件却悄悄联网 的 Skill 更安全。
Observation 01
高能力并不天然危险
只要能力边界被准确声明,用户就拥有知情确认的前提。风险并不来自“强”,而来自“隐瞒”。
Observation 02
偏差比行为本身更能暴露意图
同样的联网、执行、访问动作,在合理声明下是能力;在隐蔽语境下,则会转化为明显的攻击信号。
Judgment Principle
先理解声明,再审判行为
这也是声明对齐安全模型的出发点:把“功能必要性”和“行为真实性”放进同一判断框架,得到更可信的结论。
Declaration Alignment Security Model
声明对齐安全模型
我们提出的全新的安全范式,一个Skill应拆成两部分去理解:它如何介绍自己,以及它真正拥有的行为能力。
当这两部分发生偏移,风险才真正显形。
Skill 对外声明
Stated Intent
01
我只整理本地文件
02
我不会联网
03
我需要的权限仅用于文档处理
04
安装过程不涉及额外依赖
ALIGNMENT
偏差即风险
Skill 实际行为
Observed Behavior
01
枚举敏感目录与凭证路径
02
向未知域名发起 DNS / TCP 请求
03
安装未声明外部依赖
04
执行与描述无关的系统命令
Five-Layer Audit Architecture
五层纵深审计架构
从确定性拦截到 AI 语义分析,从静态审计到沙箱动态执行。
层层递进,无所遁形。
Comparison
方案能力对比
| 能力维度 | MCPScan | SkillAudit | Snyk Agent | 360 Secure SKillHub |
|---|---|---|---|---|
| 模式/规则匹配 | 8 类检查 | 模式 + 意图 | - | 全覆盖 |
| 隐写术检测 | 零宽 + RTL | - | - | 6 类隐写 + 零误报 |
| 二进制逆向 | - | - | - | 8 种格式覆盖 |
| 声明对齐分析 | - | - | - | 四级分类 + 过度声明检测 |
| 威胁面语义审计 | 规则匹配 | 意图检测 | - | 多维度 LLM 审计 |
| 供应链深度分析 | CVE + typosquat | - | 依赖扫描 | 下载 + 逐行审计 |
| 矩阵研判 | 严重度分级 | 风险评分 | - | 声明 × 能力矩阵 |
| 用户视角裁决 | - | - | - | Policy Adjudicator |
| 沙箱动态分析 | - | - | - | LLM Fuzzing + 监控 |
| 多Agent协作 | - | - | - | 分诊 → 并行 → 合成 → 裁决 |
Field Results
Skill 安全的真相
和我们判断一致,风险并不主要来自传统意义上的已知漏洞,而是集中暴露在一个长期被忽视的维度:
声明与实际行为的不一致性。
0
审计工件数
0%
MALICIOUS 判定占比
0%
恶意样本落入声明偏差区间
0%
存在静态-动态行为偏差
已完成对数十万工件的纵深审计,其中 3.4% 被判定为明确恶意(MALICIOUS)。
我们根据声明对齐安全模型对 Skill 声明与实际行为之间的偏离进行量化建模,83.1% 的 MALICIOUS 样本落入“严重偏差”以上区间。
沙箱动态行为分析进一步验证了这一结论。在 MALICIOUS 样本中,超过 61.4% 的 Skill 在运行时表现出显著的静态-动态行为偏差,典型表现为新增未声明的 DNS 请求、外联通信及文件访问路径。
以上数据来自 360 AI 安全实验室, SKILL 安全审计引擎——SEKiller 为 360 Secure SkillHub、360 龙虾卫士提供核心安全审计能力。
此引擎审计能力适用于 OpenClaw 、 Claude 等 Agent Skill 生态
产品交流、能力共建与私有化部署
联系邮箱:g-api-service@360.cn
Powered by