AI Agent 技能安全不能只看外掛是否通過靜態掃描。惡意 AI Agent 技能可能在運行時改變行為,手機 AI Agent 更需要權限檢查、確認流程、可見狀態與操作紀錄。
當你安裝一個 AI Agent 技能、外掛或工具包時,最直覺的安全問題通常是:「它有沒有通過掃描?」這個問題很合理,但答案不夠。安裝前掃描主要看檔案、程式碼、描述、權限宣告或已知惡意模式;它可以攔下明顯有問題的內容,卻不等於保證技能在真正被 Agent 呼叫時也會守規矩。AI Agent 技能安全的難處,在於它不只是被安裝,還會在特定任務、特定提示、特定資料與特定工具組合中運作。
The Hacker News 於 2026 年 7 月 6 日的報導提到,研究者描述了 SkillCloak 這類技巧,說明惡意 AI Agent 技能可能透過自我解包或包裝方式躲過靜態掃描。這個訊號不代表所有技能都危險,也不代表每個掃描器都失效;它提醒的是,單靠「看起來乾淨」不夠。若一個技能在安裝時像普通工具,到了被 Agent 執行時才展開真正行為,安全判斷就不能只停在安裝前。
Cloak and Detonate 這篇 arXiv 預印本把掃描躲避與動態偵測放在一起討論。因為它仍是研究預印本,文中的繞過與偵測結果應視為研究結果,不應被解讀成整個產業已經有定論。對一般使用者和產品團隊來說,更實用的結論是:技能來源、安裝掃描、權限範圍、運行中行為與事後紀錄,都要一起看。安裝時乾淨,只是第一道門檻。
AI Agent 外掛風險最麻煩的地方,是行為會受到上下文影響。同一個技能在普通測試裡可能只做摘要,到了真實任務中卻可能讀取更多檔案、請求外部連線、修改輸出內容,或把敏感資訊帶到不該去的地方。這也是為什麼運行中檢查比單次掃描更接近實際風險:它看的是技能被呼叫時到底做了什麼,而不是只看它在檔案裡宣稱自己會做什麼。
所謂運行中行為檢查,可以包括幾個層次。第一,限制技能能碰到哪些資料與工具,避免它一開始就拿到過大權限。第二,觀察資料流向,例如它是否把通知、聯絡人、檔案內容或帳戶資訊送到不必要的位置。第三,把高風險動作隔離在受控環境中,先看結果再決定是否允許。第四,留下可回顧紀錄,讓使用者或管理者知道技能在什麼時間、因為什麼任務、用過哪些權限。
這和 AI 代理權限紀錄 的思路相通:安全不是只靠一次允許,而是要能看見每一次關鍵行為。家庭監護、企業管理與個人手機 Agent 的場景不同,但共同點是相同的:只要 Agent 能代替人執行任務,就需要可檢查的同意節點和操作歷史。
運行中檢查也不是萬靈丹。惡意 AI Agent 技能可能試圖延後行為、分段執行、利用使用者授權過的工具,或把危險行為包裝成正常任務。因此,真正安全的設計不應只問「有沒有偵測器」,而要問「如果偵測器漏掉了,還有哪些最小權限、人工確認、可取消步驟與紀錄能降低損害」。
手機 Agent 的風險比一般桌面外掛更貼近日常生活。手機上有訊息、聯絡人、通知、位置、相簿、檔案、瀏覽器、付款入口、社群帳號、工作帳號與系統設定。若一個技能只是整理公開文件,風險相對可控;若它能讀通知、準備訊息、搜尋聯絡人、開啟 App、調整設定或觸發工作流程,惡意行為就可能直接影響使用者的人際關係、帳戶安全與隱私。
OWASP GenAI Security Project 提醒的風險類別,包括 prompt injection、供應鏈漏洞、不安全外掛設計、過度代理能力與敏感資訊外洩。放在手機 AI Agent 權限裡,這些不是抽象名詞。惡意內容可能誘導 Agent 呼叫某個技能,技能可能請求超出任務需要的資料,或者 Agent 可能在沒有足夠確認時替使用者完成副作用很大的動作。
Android Developers 的權限說明也能提醒我們:Android 權限是由系統控制、由使用者授予的能力,而且不同權限敏感度不同。讀取聯絡人、使用位置、讀取通知、操作相機或存取檔案,不應被視為同一等級。手機 Agent 不能把一次授權解讀成永久通行證,也不能把「能讀」誤解成「能自動發送、修改或分享」。
資料在哪裡處理,也會影響風險。若任務需要把手機內容送到雲端模型、第三方工具或外部技能,就要重新檢查資料是否必要、是否能最小化、是否需要使用者確認。這點可延伸閱讀 雲端 AI 智能體與本地 AI 智能體 的取捨:本地處理不等於零風險,雲端處理也不必然不可用,關鍵是邊界要清楚、權限要分級、敏感動作要確認。
手機 Agent 的權限設計,不能只有「允許」和「拒絕」兩個按鈕。比較實用的模式,是把權限拆成任務範圍、資料範圍、時間範圍和動作範圍。使用者可以允許 Agent 讀取今天的會議通知,不代表它可以讀取所有歷史通知;可以允許它產生訊息草稿,不代表它可以直接送出;可以允許它搜尋相簿,不代表它可以分享照片給第三方 App。
最小權限是第一條原則。Agent 或技能只應拿到完成當前任務所需的資料與工具。第二條原則是即時提示:當任務從低風險整理走向高風險操作,例如發送、刪除、付款、分享位置、修改帳戶或調整系統設定,就要重新提示。第三條原則是先確認再產生副作用。草稿可以先準備,真正送出前必須停下來;建議可以先列出,真正改設定前必須說明影響。
第四條原則是紀錄。使用者事後應能回看:哪個技能被呼叫、因為哪個任務、使用了哪些權限、是否接觸敏感資料、最後做了什麼。企業場景還會有更完整的控管,例如政策、設備管理、資料分級與集中稽核;這些比消費者手機上的權限提示更廣,可參考 企業 AI 代理安全 的治理思路。但即使是個人手機,也至少需要清楚的任務紀錄與可取消機制。
最後,權限檢查必須發生在行為發生前,而不是事後才產生報告。若技能已經讀取敏感資料或發送訊息,紀錄只能幫助追查,不能阻止損害。因此,對手機 Agent 來說,安裝前掃描、運行中檢查、權限提示、動作確認與事後紀錄應該連在一起,而不是各自獨立。
如果你正在評估一個 AI Agent 技能安全不安全,可以先看來源。它是官方維護、知名開發者提供,還是陌生來源?是否有清楚用途、版本紀錄、權限說明和更新方式?如果技能描述很模糊,卻要求讀取檔案、網路、帳戶或手機資料,應該提高警覺。通過掃描可以加分,但不應是唯一判斷。
第二,看它要求什麼能力。只做格式轉換的技能,不應需要聯絡人或位置;只整理通知摘要的手機 Agent,不應要求直接發送訊息;只查詢日曆空檔,不應能刪除所有行程。判斷權限是否合理,比單純看權限多寡更重要。某些高風險權限可以合理存在,但必須和明確任務、即時提示和使用者確認綁在一起。
第三,看它是否有運行中保護。好的手機 Agent 應該在執行時檢查任務是否超出原始目的,是否碰到新的敏感資料,是否要呼叫外部工具,是否會產生不可輕易回復的結果。它也應該在狀態不明時停下來,而不是為了完成任務硬做。若產品只強調「自動化很強」,卻不說明如何限制技能行為,就不是成熟的安全設計。
第四,看紀錄是否可讀。使用者需要的是能理解的任務歷史,而不是一堆看不懂的系統日誌。它應該告訴你:技能何時被呼叫、為什麼被呼叫、做了哪些事、碰到哪些資料、是否被你批准、結果是成功、失敗、取消或等待確認。這種紀錄不會讓風險消失,但能讓使用者在問題發生時有線索,也能讓產品團隊改善權限設計。
FoneClaw 可以被介紹為獨立的 Android 手機 AI Agent,用來協助使用者完成支援範圍內的手機操作。這個定位不等於它是安全產品、技能掃描器、第三方外掛市場,也不代表它受到 SkillCloak、The Hacker News、arXiv 作者、OWASP、Android、Google 或任何安全廠商背書。本文討論的是手機 Agent 應該採用的安全原則,不是宣稱 FoneClaw 受到某個事件影響或已解決所有風險。
對 FoneClaw 這類手機 Agent 來說,最重要的產品教訓是:支援的行動必須可見、需權限、要確認、可回顧。當使用者要求整理通知、準備訊息、查找聯絡人、開啟 App、調整設定或建立提醒時,Agent 應該說明自己要做什麼、需要哪些資料、哪一步會產生實際影響,以及使用者是否可以取消或修改。這比單純說「AI 會幫你完成」更可信。
如果未來手機 Agent 允許更多技能或外掛式能力,安全要求會更高。每個技能都應限制在明確任務內,不應默默擴大資料存取;每個高風險動作都應在執行前確認;每次關鍵操作都應留下使用者看得懂的紀錄。即使掃描器、行為檢查和權限提示都存在,也不能承諾絕對安全。成熟產品應該承認限制,並把風險降到使用者能理解、能控制、能追蹤的範圍。
資料來源:本文參考 The Hacker News 對 SkillCloak 的報導、Cloak and Detonate 預印本、OWASP GenAI Security Project,以及 Android Developers 權限文件。研究預印本中的數據與方法應視為研究結果,不代表產業保證;本文也不暗示任何來源背書 FoneClaw。