Agent Skill 一日工作坊 · 第八章
下一秒你就要去裝別人寫的 Skill。去之前,先學會自保。
JUST-IN-TIME
下一步就是逛案例庫、看到喜歡的就想裝。所以安全須知排在這裡。
核心觀念。Skill 不只是設定檔,它讓別人的指令在你電腦上跑、讓 AI 照別人的意圖做事。
三種風險 · 第一種
Skill 可內嵌 scripts/ 放任意腳本,惡意作者就在這裡下手。
rm -rf ~/Documents/* 幾行就抹掉你的檔案與歷史紀錄~/.env 或 Claude 設定,把你的金鑰摸走curl 把你的資料傳到陌生伺服器重點。不用你動手,Skill 一被呼叫腳本就跑。裝之前先看 scripts/ 裡有什麼。
三種風險 · 第二種(最隱蔽)
指令層就是純文字,藏一句話進去,AI 就會照做。
前幾行看起來完全正常,你可能就這樣裝了。
AI 把整份 SKILL.md 當指令讀,它會照做。這就是 Prompt Injection。
為什麼最隱蔽。沒有可疑程式碼、沒有奇怪副檔名,就是一行文字。防毒軟體掃不到,AI 卻會照著跑。
三種風險 · 第三種
allowed-tools 是 Skill 能呼叫的工具清單,寫太寬就等於交出全部權限。
判斷標準。一個「整理 SEO 報表」的 Skill 不該需要 Bash(*)。它有,就問為什麼。
可帶走 · 五點過關才裝
| 01 看來源 | 作者是 Anthropic、知名公司,或 GitHub 上有不少 star 的?來路不明的別裝。 | 先信任 |
| 02 讀 SKILL.md | 它叫 AI 做什麼?有沒有「傳到外部」「讀取機敏檔案」這種可疑步驟? | 看指令 |
| 03 看 scripts/ | 裡面有沒有你看不懂的腳本?看不懂別跑,或讓 AI 幫你解讀。 | 看程式碼 |
| 04 看 allowed-tools | 權限開多大?有沒有 Bash(*)?有沒有必要開這麼大? | 看權限 |
| 05 先在小環境試 | 不要第一次就在有客戶資料、有 API Key 的主力電腦上跑陌生 Skill。 | 先試水 |
不必五關都自己讀完。看不懂的,把整個資料夾丟給 Claude 問,比一行行讀又快又準。下一頁給你問法。
殺手鐧 · 今天最該帶走的習慣
裝之前把整個 Skill 資料夾丟給 Claude,貼上這句話。
你貼給 Claude
Claude 逐項回報
為什麼有效。AI 讀文字比你快幾十倍,也不會嫌麻煩跳過。問對問題,它就是你最好的審查員。
帶走這一句
每一步都是你自己下的意圖,你看著它跑,出事馬上知道。風險比較可控。
仍要快速自審三點:腳本會不會誤刪、API Key 有沒有寫死、對外動作有無確認關卡。
對外動作留確認關卡。監控、整理可以全自動;發信、貼公開內容那一步,留一道人工確認。
意圖未知,需要主動審查。三種風險都可能存在,腳本、Prompt Injection、權限。
工具就是前面兩頁:五點 Checklist + AI 審 AI。
看來源 → 五點 Checklist → AI 審 AI → 過關才裝
一句話記住。自己做的先快速自審、對外動作留確認關卡,別人的更要先審再用。帶著這句話去逛案例庫。