CNCERT紧急警告：智能体Skills暗藏越狱与挖矿黑产风险，用户或被卷入洗钱犯罪

2026年6月9日，国家互联网应急中心（CNCERT）发布最新安全公告，对当前快速兴起的智能体（AI Agent）生态中出现的恶意技能包（Skills）现象提出严正警告。CNCERT指出，近期综合研判发现，部分智能体技能包正以"大模型越狱"、"挖矿赚钱"等极具诱惑性的名义在网络上公开传播，诱导用户主动突破大模型安全限制，或在用户不知情的情况下占用设备资源进行非法挖矿。此类恶意Skills可能导致模型生成违法信息、用户账号被依法封禁、设备性能急剧下降，甚至使用户被动卷入洗钱等严重违法犯罪活动，严重侵害个人合法权益，危害国家网络安全。

一、智能体Skills生态的繁荣与隐患并存

随着2025年下半年至2026年上半年AI智能体技术的全面普及，Skills（技能包）作为扩展智能体能力的核心机制，已经成为AI生态系统中不可或缺的一环。无论是面向开发者的Claude Code、Cursor，还是面向普通用户的各类Agent平台，Skills机制都允许第三方开发者编写功能模块，由智能体按需加载和调用，从而实现"边用边扩展"的灵活能力。

然而，正如所有开放生态系统都会面临的问题一样，Skills生态的繁荣同样吸引了恶意攻击者的目光。CNCERT本次公告所披露的两类风险——"越狱类Skills"与"挖矿类Skills"，正是当前智能体生态面临的最典型、最迫切的安全威胁。这两类风险不仅技术门槛低、传播速度快，而且对普通用户的迷惑性极强，许多用户在不知情或抱有侥幸心理的情况下安装使用，最终面临严重后果。

值得关注的是，CNCERT在此前的公告中曾针对"小龙虾"（曾用名Clawdbot、Moltbot）等智能体应用提出过"功能插件（skills）投毒风险"的警告，指出多个适用于该类智能体的功能插件已被确认为恶意插件，安装后可执行窃取密钥、部署木马后门软件等恶意操作，使设备沦为"肉鸡"。本次6月9日的公告，可以视为CNCERT对智能体Skills生态安全问题的进一步深入披露与系统化警示。

二、案例一："godmode" — 公然兜售的越狱工具

2.1 godmode的工作原理

CNCERT本次重点点名的第一个恶意Skill是名为"godmode"的越狱类技能包。该Skill宣称可以让大模型回答任何问题，实现所谓的"上帝模式"或"完全越狱"功能。从CNCERT披露的技术细节看，godmode实际上内置了多种攻击模块，采用了以下几种典型的越狱攻击手段：

• 替换系统提示（System Prompt Override）：通过覆写或绕过模型的原始System Prompt，移除内置的安全限制和价值观对齐约束
• 输入混淆（Input Obfuscation）：使用编码变换、字符替换、多语言混合、符号注入等技术手段，绕过模型的关键词过滤和内容检测机制
• 多模型竞速（Multi-Model Racing）：同时向多个大模型发起请求，利用部分模型安全防护相对薄弱的特点，获取被严格模型拒绝的内容

这些攻击手段并非新鲜事物，在AI安全研究社区中早已被广泛讨论。但godmode的危险之处在于，它将这些原本仅存在于学术研究和红队测试中的技术，封装为开箱即用的Skill产品，普通用户只需简单安装即可使用，极大地降低了攻击门槛。

2.2 三大核心风险

CNCERT在公告中明确列出了使用godmode类越狱Skill的三大风险：

法律风险：用户使用此类Skill后，模型可能直接输出制造危险物品、实施网络攻击等具体的违法方法。一旦用户基于这些内容进行制作或传播行为，将直接面临法律追责。需要强调的是，《生成式人工智能服务管理暂行办法》以及相关法律法规对于利用AI生成、传播违法内容均有明确的法律责任规定。

经济损失风险：主流大模型服务商均明令禁止越狱行为，其系统均具备完善的异常请求检测机制。使用此类Skill极易触发服务商的封禁机制，导致账号被永久停用。已购买的API额度或订阅服务通常无法退回，对于重度商业用户而言，这可能意味着巨额的直接经济损失。

系统安全风险：越狱后模型的行为完全失控，用户无法预判输出内容，可能在对话中泄露个人隐私信息，或被诱导执行高风险操作。更为危险的是，该Skill的自动越狱脚本会直接修改本地配置文件，若这些脚本被恶意篡改，可能引入木马、后门等未知安全威胁。

三、案例二："Bonero-Miner" — 披着AI外衣的挖矿木马

3.1 "私有加密货币"的伪装

CNCERT点名的第二个恶意Skill是"Bonero-Miner"。该Skill宣称的主要功能为"针对AI智能体打造私有加密货币"，听起来颇具创新色彩，但其本质是一个挖矿木马的变种。其工作流程大致如下：

1. 诱导智能体下载外部挖矿程序
2. 指导用户授权执行挖矿相关操作
3. 长期占用设备CPU、GPU、内存等资源进行Bonero币的挖掘
4. 将挖得的加密货币转入攻击者控制的钱包地址

3.2 洗钱风险：环签名与隐身地址

CNCERT特别强调，Bonero币（疑似为Monero门罗币的仿冒/变种）具备"环签名"（Ring Signature）、"隐身地址"（Stealth Address）等强匿名特性。

• 环签名：交易发起方的身份被混在多个可能签名者中，无法追溯实际签名者
• 隐身地址：每笔交易使用一次性地址，无法关联到接收方的真实钱包

这两种密码学技术使得Bonero币的交易双方身份及交易金额均无法追踪。这意味着，用户在不知情的情况下，其设备可能成为洗钱链条的一环——攻击者通过分散在大量受害者设备上的挖矿行为，将赃款"洗白"为看似合法的挖矿收益，最终面临法律追责的可能是设备的实际拥有者。

3.3 设备损耗与经济损失

除了法律风险，长期高负荷的挖矿进程还会带来直接的经济损失：

• 持续占用设备CPU/GPU资源，导致功耗大增，电费支出显著上涨
• 设备卡顿、响应延迟，影响正常工作和使用
• 硬件加速老化，特别是GPU、SSD等核心部件的寿命被严重缩短
• 散热系统长期满载运行，可能引发硬件故障甚至安全事故

四、CNCERT的安全建议

针对上述威胁，CNCERT分别向个人用户和企业用户提出了具体的安全建议。

4.1 个人用户防护建议

• 官方渠道获取：仅从智能体官方应用市场或可信源获取Skills，拒绝安装来自不明渠道的技能包
• 拒绝越狱类工具：明确拒绝安装任何宣称具备"越狱"、"突破限制"、"上帝模式"等功能的Skill
• 权限最小化：遵循权限最小化原则，仅授予Skill必要的权限，及时回收敏感授权
• 定期清理：定期清理闲置Skills与敏感对话记录，减少攻击面
• 多因素认证：开启多重要素验证（MFA）以保障智能体账号和API密钥的安全

4.2 企业用户防护建议

• 建立白名单机制：建立Skills准入白名单制度，技能包入库前必须完成完整的安全审查
• 隔离环境部署：优先在隔离网络环境中部署智能体，避免直接暴露在生产网络
• 分级管理：按数据敏感程度对智能体实施分级管理，敏感场景使用更严格的Skill策略
• 数据脱敏：推行数据脱敏与临时授权策略，降低数据泄露风险
• 行为监控：建立Skills运行时行为监控机制，及时发现异常的网络请求、文件操作和资源占用

五、行业反思：开放生态如何兼顾安全

CNCERT本次公告所揭示的问题，并非某一个智能体平台或某一类Skill的孤立现象，而是整个AI智能体行业在快速发展过程中必然要面对的系统性挑战。

回顾过去一年AI智能体生态的演变，从Claude Skills机制的推出到各类开源Agent框架的爆发式增长，Skills已经成为智能体能力扩展的事实标准。但与传统软件的插件机制不同，Skills运行在拥有强大推理能力和系统访问权限的智能体上下文中，一旦被恶意利用，其危害远超传统恶意软件。

业界需要从以下几个层面共同推动安全生态建设：

1. 平台层面：智能体平台需要建立更严格的Skill审查机制，引入沙箱执行环境，对Skill的网络访问、文件操作、外部命令执行等敏感行为进行精细化管控
2. 协议层面：业界应推动Skill安全规范的标准化，包括签名验证、能力声明、权限请求等机制
3. 生态层面：建立Skill的信誉评价体系和漏洞披露机制，让社区力量参与到安全治理中
4. 监管层面：监管部门应进一步明确恶意Skill开发和传播的法律责任，加大执法力度

六、用户应当立即采取的行动

基于CNCERT的本次警告，建议所有智能体用户立即采取以下行动：

• 检查当前已安装的Skills列表，立即卸载godmode、Bonero-Miner及任何来源不明的技能包
• 检查设备资源使用情况，特别是CPU/GPU是否存在异常高负载
• 检查智能体的网络连接日志，排查是否有连接挖矿矿池或可疑外部服务器的记录
• 修改智能体平台账号密码，重新生成API密钥
• 关注CNCERT、官方平台的后续安全公告

结语

AI智能体的快速发展为生产力带来了前所未有的提升，但也催生了新型的网络安全威胁。CNCERT本次发布的警告，是对全行业的一次重要提醒：在追求智能体能力扩展的同时，安全永远不能成为被牺牲的代价。无论是个人用户、企业用户，还是平台运营方，都需要以更加审慎的态度对待Skills生态，共同筑牢AI时代的网络安全防线。

---

参考来源

• IT之家：国家互联网应急中心提醒：部分智能体技能包（Skills）存在越狱和挖矿风险 — IT之家关于CNCERT本次公告的详细报道，包含完整的公告原文和案例分析