国家网信部门罕见出手：AI Agent”技能包”安全警报拉响，越狱挖矿洗钱——”智能体生态”的暗面正在浮现

从”工具”到”载体”：AI Agent安全边界在哪里？

6月9日，国家互联网应急中心（CNCERT）发布了一则看似简短、实则分量极重的公告。在中国网络安全监管体系中，CNCERT是最高级别的技术预警机构，其公告通常只对严重网络威胁和重大安全事件做出。而这一次，它锁定的目标不再是病毒或黑客组织——而是AI智能体技能包（Skills）。

公告指出，近期CNCERT综合研判发现，部分智能体技能包以”大模型越狱”、”挖矿赚钱”等名义公开传播，诱导用户突破大模型安全限制，或占用设备资源进行非法挖矿。这些恶意Skills可能导致：模型生成违法信息、用户账号被依法封禁、设备性能下降，甚至使用户被动卷入洗钱等违法犯罪活动。

请注意最后这条——”被动卷入洗钱”。这不是传统意义上恶意软件感染电脑那么简单，而是AI Agent在用户不知情的情况下，可能成为犯罪资金链路的组成部分。

AI Agent生态爆发式增长，安全却成”最后一公里”

CNCERT发出警告的时机并非偶然。2026年上半年，AI Agent生态系统经历了爆炸式增长，几乎所有主流玩家都在加码：

Agent生态正在经历”前互联网时代”式的野蛮生长——能力快速迭代，但安全框架、监管标准、责任边界尚未建立。CNCERT的公告正是对这一”安全真空”的直接回应。

三大风险层级：从”调皮”到”犯罪”

CNCERT公告中描述的恶意Skills风险，实际上可以拆解为三个层层递进的危险层级：

第一层：模型越狱——”让AI说它不该说的话”

这是最基础的风险层级。恶意Skill通过精心构造的提示词绕过模型安全限制，让AI生成原本被拒绝的内容。这类攻击已被广泛研究和公开演示，但关键在于——Skill的形态让越狱攻击变得更隐蔽、更自动化。攻击者不再需要手动写prompt，而是分发一个”技能包”，用户安装后自动生效。

第二层：设备劫持——”让你的电脑替我挖矿”

Skill可以请求执行代码、访问系统资源，这意味着恶意Skill本质上是一个”合法的挖矿程序”。用户的CPU/GPU在不知不觉中为攻击者的加密货币挖矿任务提供算力，而用户自己对此毫无察觉。这类攻击对设备性能的影响可能非常明显——风扇狂转、电池快速耗尽、设备变慢。

第三层：犯罪工具化——”你不知道自己在帮谁洗钱”

这是最危险的层级。如果一个恶意Skill操控AI Agent调用了支付API、加密转账接口、或者在社交平台执行自动化操作，用户可能在完全不知情的情况下成为犯罪资金链的一部分。CNCERT特别强调这一点，意味着监管机构已经意识到AI Agent不再是”工具”，而可能成为”犯罪执行者”。

全球都在面对的”最后一公里”难题

CNCERT的这次警告并非孤立事件。事实上，全球AI安全监管者都在面对同一个核心问题：当AI Agent的能力足以自主执行复杂任务时，谁来为”Agent的行为”负责？

– 美国：Anthropic一边发布最强AI模型，一边呼吁全球暂停AI开发——”安全追赶不上速度”已成为行业共识
– 欧洲：Google DeepMind在欧洲启动机器人加速器项目，但同时也面临AI伦理审查的严格要求
– 中国：CNCERT首次公开针对AI Agent生态发出安全警告，监管思路正从”管模型”转向”管生态”

值得注意的一个趋势是：监管的重心正在从AI模型本身，转向AI的”生态”——即围绕模型的第三方开发、插件、技能包、API调用链。这意味着未来的监管将更加复杂，因为安全边界不再局限于单一公司，而是延伸到整个开发者生态。

对用户意味着什么？

CNCERT给出的建议很明确：提高警惕，加强Skills来源审查与行为监控，及时清除可疑组件。但对于普通用户来说，这听起来像是”不要随便下载不明来源的软件”——道理简单，执行困难。

在AI Agent生态快速发展的当下，”Skill”可能以各种形式出现：浏览器扩展、手机App插件、桌面应用的功能模块、甚至社交媒体上的”自动化工具”。用户很难辨别哪些是正经工具，哪些是披着”AI”外衣的恶意代码。

一个更务实的做法是：优先使用来自可信平台（如微信、Anthropic、Google等）官方认证的Skill，而非直接安装来源不明的第三方组件。正如CNCERT所警告的——在AI Agent时代，”安装一个Skill”的风险可能远超”安装一个App”。