Ghost in the Machine：检测和防御供应链中的恶意 AI Agent Skill

本文介绍Ghost in the Machine项目，该项目专注于检测和防御供应链中的恶意AI Agent Skill，利用OSM API等技术保护平台工程的Golden Paths免受自主工作流的安全威胁。项目通过多层检测机制应对AI Agent时代的新型供应链风险，为AI Skill的安全使用提供实用工具和方法。

Agentic AI正在改变软件开发和运维方式，带来效率飞跃的同时也引入新安全风险。传统软件供应链安全工具关注依赖库和容器镜像，但对AI Skill这种新型组件的检测能力不足。恶意AI Skill可能悄悄收集敏感信息或植入后门，隐蔽性强，现有手段难以覆盖。

AI Skill供应链攻击指攻击者污染AI Skill的代码或配置，使其执行恶意操作。其隐蔽性高的原因包括：Skill常以自然语言与代码混合形式存在，传统静态分析难以覆盖；恶意行为可能隐藏在条件逻辑或模糊指令中；特定上下文才触发恶意行为；AI Agent权限高，影响范围大。

Ghost in the Machine项目通过以下机制检测恶意AI Skill：

1. 元数据分析：利用OSM API收集作者信誉、项目维护状态、依赖树等元数据识别可疑Skill；
2. 静态代码分析：扫描敏感API调用、数据流、混淆检测及自然语言描述；
3. 动态行为分析：沙箱环境中观察网络连接、文件访问等实际行为；
4. 威胁情报关联：与已知恶意签名、攻击模式及CVE关联。

Golden Paths（组织标准开发部署路径）是攻击目标，项目提供保护策略：

1. 准入控制：建立Skill准入清单，自动化评估工具审查安全；
2. 持续监控：追踪Skill变更，重新评估风险；
3. 最小权限原则：分配最小必要权限，限制攻击影响范围。

项目适用场景包括：

1. CI/CD集成：构建流程中自动扫描AI Skill，阻止高风险进入生产；
2. 定期审计：对现有Skill重新扫描，发现新风险；
3. 事件响应：新攻击公开时快速扫描资产确认影响。

项目存在以下局限：

1. 检测完备性：无法捕获所有恶意Skill，高级攻击者可能绕过；
2. 误报问题：激进策略易导致误报影响效率，需平衡安全与可用性；
3. 威胁演变：攻击技术不断更新，检测规则需持续迭代。

Ghost in the Machine填补了AI Skill供应链安全空白，推动行业标准化（如元数据标准、扫描基准），需社区协作应对系统性问题。建议采用AI Agent的团队关注该项目，在提升效率的同时重视供应链安全防线。