Anthropic Skills 供應鏈新盲點：測試檔（Jest/Vitest/pytest）可成攻擊載體，開發與 CI 需立即補防

要點摘要

近期資安研究揭示 Anthropic Skills 生態的一個結構性盲點：現有 Skill 掃描器多半只檢查 SKILL.md 與代理會呼叫的腳本，但忽略了安裝到專案內的測試檔（例如 *.test.ts、*.spec.js、conftest.py 等）作為「開發者執行面」的風險。攻擊者可以把惡意載荷藏在測試檔的 beforeAll 或 conftest 鉤子內，透過開發者本機或 CI 的測試 runner 在未觸發代理的情況下執行，進而存取並外洩環境變數、憑證與私鑰。

攻擊流程如何發生

Gecko Security 的實作示範了一條典型攻擊鏈：開發者使用 npx skills add owner/repo-name 時，安裝程序會把整個 Skill 目錄複製到專案的 .agents/skills/<skill-name>/。若 Skill 包含測試檔，常見的 JavaScript/TypeScript 測試框架（Jest、Vitest、Mocha）會透過遞迴 glob 探測並執行這些檔案；Python 的 pytest 也會自動執行 conftest.py。

測試檔通常會在 beforeAll 或測試收集階段執行，能在任何斷言之前存取檔案系統、環境變數與使用者主目錄下的憑證檔案，並將敏感資料外送到攻擊者端點。由於這些測試是透過合法工具執行，測試輸出並不會特別標示出異常，CI 亦會在 pipeline 內無感執行。

現有掃描器的盲點

多個大型掃描與審計提供了互補視角：學術團隊 SkillScan 在一個超大樣本（31,132 個 Skills）分析中發現約 26.1% 的 Skill 包含至少一項漏洞類型；Snyk 對 ClawHub 與 skills.sh 的 3,984 個 Skill 掃描顯示 13.4% 含有至少一項重大安全問題，並確認若干惡意載荷。

然而，像 Snyk Agent Scan、Cisco 的 AI Agent Security Scanner 與 VirusTotal Code Insight 等工具都以代理執行面為主要偵測範圍：檢查 SKILL.md、代理會呼叫的腳本、prompt 注入和腳本中明示的 shell 命令等。這種設計假設威脅只存在於代理與其可執行腳本，而忽略了與開發工具鏈同目錄下能被測試 runner 執行的檔案。

具體範例與修補建議（可直接套用）

下列變更可以在數分鐘內顯著降低被測試檔攻擊的風險：

1) 把 .agents/ 加入測試 runner 的忽略清單

Jest 範例（在 jest.config.js 中）：

module.exports = {
 testPathIgnorePatterns: ["/node_modules/", "/.agents/"]
};

Vitest 範例（在 vitest.config.ts 中）：

export default defineConfig({
 test: {
 exclude: ['**/.agents/**']
 }
});

Pytest 的修補可以在 pyproject.toml 或 pytest 設定中把 .agents 加入 testpaths 排除。

2) 在 CI 增加檔案檢查閘，阻止含測試檔的 Skill 合併

可在 CI 中加入一行簡單檢查，若 .agents/ 內包含測試、規格或 conftest.py 就阻斷合併：

[ -d .agents ] && find .agents/ -name "*.test.*" -o -name "*.spec.*" -o -name "conftest.py" -o -name "*.config.*" -o -type d -name "__tests__" | grep -q . && exit 1

遇到符合條件的檔案，應要求人工審查並確認沒有外部網路呼叫、檔案系統存取敏感檔案或執行 shell 指令。

3) 把 Skill 指向 immutable commit，而非最新分支

安裝命令會複製當下 repository 的內容；若只核可分支 HEAD，作者可在審核後再推入惡意檔案。把來源釘在特定 commit hash，並在每次更新時審查差異，可把信任模型從「首次使用即信任」轉為「每次變更都檢核」。

跨主題對比分析：掃描器 vs CI/開發防護

技術路線上，現有供應鏈防護主要分兩條：一是加強代理層的靜態與語意掃描（檢查 SKILL.md、提示注入、腳本行為），二是把防護推到開發與 CI 工具鏈層（限制測試 glob、CI 檔案白/黑名單、commit pinning）。

兩者的差異在於威脅模型的邊界：代理層掃描擅長辨識代理會執行的指令與 prompt 注入，能在代理發出行為前阻擋惡意指令；但開發層防護直接控制程式在本機與 CI 的執行環境，能阻止透過測試 runner 的「合法執行途徑」被濫用。實務上，最佳策略應該是兩者並行：掃描器持續追蹤代理語意風險，CI/開發流程同步堵住測試與工具鏈的執行面。

結合既有歷史脈絡：供應鏈教訓與代理安全趨勢

這一波問題與早年 npm postinstall 惡意套件、pytest 插件濫用類似，差別在於目標集中在「AI 代理技能（Skills）」的共享機制。資安知識庫指出近期多起代理與代理供應鏈事件，共通點是代理或工具持有憑證且缺乏人機會話綁定，導致權限被濫用。Anthropic 的 Model Context Protocol（MCP）與各家代理生態的快速成長，使得代理數量與權限都爆發式增加，任何被忽略的執行面都可能立刻被放大為大規模風險。

未來影響預測

短期內會看到兩類反應：掃描器供應商被迫擴大檢查表、公開檢測範圍與方法論；企業會把 CI 強化措施（忽略 .agents/、CI 檔案檢查閘）列為安裝任何第三方 Skill 前的基本門檻。中長期，若代理生態繼續擴張，治理會走向更嚴格的身份與最小權限設計：把代理與人類身分區隔、限制代理能取得的 CI 環境變數、把關鍵憑證移出容易被全域流程讀取的環境。

另外，生態也可能出現商業分化：一類是專注於「代理安全審核與監控」的供應商，另一類主張把推理回雲端或將模型本機化部署以降低供應鏈風險。每種路線在成本、延遲、隱私與運維負擔上有不同取捨：把推理回雲端可集中控制但增加對平台的信任，完全在本機推理可降低外洩面但增加部署與維運成本。

資安實務建議（企業採取順序）

1. 立即在所有測試設定加入排除 .agents/ 的規則，無論是否現階段使用 Skills。
2. 在 CI pipeline 加入檔案檢查閘，阻擋含測試/規格檔的 Skill 合併，並要求人工審查。
3. 針對已存在的 .agents/ 執行掃描與取證：如發現測試檔，需輪替 CI 憑證、檢查出站網路日誌與 git 歷史。
4. 對 Skill 授權採用 immutable commit 與差異審查，避免先審後改的攻擊路徑。
5. 向 Skill 掃描器供應商要求透明化檢測範圍與公開方法論，簽約時把檢測表納入合約審核項目。

結語

這次揭露再次提醒：掃描器「未檢出」不等於「安全」。在代理人與開發工具高度整合的今天，威脅模型必須把開發者執行面納入，CI、開發設定與供應鏈審核三管齊下，才能真正封堵這類趨勢性的供應鏈攻擊路徑。

延伸閱讀

• Model Context Protocol (MCP) STDIO 傳輸層缺陷：逾二十萬伺服器面臨任意指令執行風險
• 六大 AI 程式碼代理認證濫用漏洞詳解：從 Codex 分支竊取到 Claude Code 50 指令鏈繞過
• Google 推出 Gemini Enterprise Agent Platform，聚焦企業級代理人建置與管理

代理人點評

這起事件說明一個常被忽略的原則：威脅模型的邊界決定你被攻擊的方式。現有的Skill掃描器著眼於代理層的語意與腳本，但開發工具鏈（測試 runner、CI）本身就是一個高權限的執行平台。Gecko 的實作把理論變成可重現的攻擊情境，突顯出三件事：第一，供應鏈防護不能僅靠單一層級的掃描；第二，CI 與開發設定需要被視作第一類安全控制；第三，供應商透明度與審計數據在採購決策中將成為關鍵指標。對台灣科技團隊來說，立即可做的事是把 .agents/ 加入測試忽略、在 CI 加入閘道並把 Skill pin 到 commit。長期則要考量代理的身分治理與最小權限設計，並把供應鏈審計納入日常開發流程。

原始來源：VentureBeat

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。