第三方 AI Skill 安全检查清单

AI Skills 专题

第三方 AI Skill 安全检查清单

第三方 Skill 有用，正是因为它能改变 agent 的行为。请把它当成轻量软件依赖：检查、测试，并控制影响范围。

安装前

先用无害测试项目，不要直接放进最敏感的工作区。

• 阅读 SKILL.md 和引用文件。
• 搜索 shell 命令、删除操作、网络请求和 Token 处理。
• 检查许可证和维护活跃度。
• 寻找能证明预期行为的示例或测试。

测试中

先用假输入和样例文件。好的测试应该让你看清它会读什么、写什么、要求 agent 做什么。

• 使用一次性目录。
• 避免真实凭证。
• 观察是否出现意外文件变更。
• 记录它是否真的提升输出质量，值得长期保留。

采用后

安装不是结束。保留来源链接，并定期复查行为。

• 固定来源仓库。
• 替换本地副本前先审查更新。
• 移除触发过于频繁的 Skill。
• 敏感工作继续放在受控流程中。

下一步