第三方 Skill 不是“提示词素材”,本质上是会影响系统行为的扩展资产。引入前先审查,能避免大多数安全与稳定事故。
本章完成标准
你读完后应该能独立完成一份第三方 Skill 上线前审查,并给出“可用/限用/禁用”结论。
步骤一:先做来源审查
- 来源是否可信,是否有持续维护记录。
- 版本是否明确,是否含变更说明。
- 是否存在可疑 fork 或匿名高风险发布。
步骤二:读 SKILL.md 与资源目录
- 检查触发条件是否过宽。
- 检查是否强制调用高风险命令或外部站点。
- 检查
scripts/、templates/、assets/是否存在可疑行为。
步骤三:评估 4 类核心风险
- 脚本执行风险:是否执行未知命令、下载执行链路。
- 外部 API 风险:是否要求高权限密钥、是否上传敏感数据。
- 文件路径风险:是否访问不该访问的目录。
- 提示注入风险:是否会被外部内容诱导执行危险动作。
步骤四:隔离测试后再上线
- 先在独立 workspace 或测试环境安装。
- 只用测试密钥,不用生产密钥。
- 开启日志观察真实调用链。
步骤五:定义上线边界
- 明确允许场景与禁止场景。
- 明确可访问工具和外部域名边界。
- 明确回滚方式与禁用流程。
快速审查清单
[ ] 来源可信且可追溯
[ ] SKILL.md 触发条件不过宽
[ ] 未发现可疑脚本执行链
[ ] 仅申请必要 API 权限
[ ] 测试环境运行通过
[ ] 上线边界与回滚方案已写明