یک‌سوم مهارت‌های رتبه‌بندی‌شدهٔ عامل‌های هوش مصنوعی ناامن هستند

تصور کنید ابزاری را به سیستم خود دسترسی می‌دهید که نه تنها کد را اجرا می‌کند، بلکه می‌تواند کل حافظه و تنظیمات شما را به سرورهای خارجی ارسال کند. این دقیقاً همان نقطه‌کوری است که در حال حاضر اکوسیستم عامل‌محور (Agentic) با آن دست‌وپنجه نرم می‌کند؛ جایی که بیش از ۸۰٪ مهارت‌های موجود هرگز بازرسی امنیتی نشده‌اند. این آسیب‌پذیری با تحلیل امنیتی Agent Skills Hub در ۲۳ ژوئن ۲۰۲۶ برجسته شد که نشان داد از هر ۳۲ مهارتِ رتبه‌بندی‌شده در عامل‌های هوش مصنوعی، یک مورد به عنوان «ناامن» یا «رد شده» طبقه‌بندی شده است.

همزمان با گذار عامل‌ها از رابط‌های ساده‌ی چت به ابزارهایی با دسترسی به شل (Shell) و مجوزهای متغیرهای محیطی، ریسک اجرای کدهای غیرقابل‌اعتماد به‌شدت افزایش یافته است. نصب یک سرور پروتکل زمینهٔ مدل (Model Context Protocol - MCP) یا یک مهارت شخص ثالث، در واقع کنترل حافظه و پیکربندی سیستم شما را به یک اسکریپت خارجی می‌سپارد. این تغییر رویکرد، یک شکاف اعتماد بحرانی ایجاد می‌کند؛ جایی که کشف ابزارها بسیار آسان است، اما تأیید هویت و ایمنی آن‌ها تقریباً غیرممکن است.

متدولوژی و شناسایی

طبق اعلام Agent Skills Hub، برای اندازه‌گیری این ریسک از یک اسکنر مبتنی بر قانون استفاده شده که بر اساس چارچوب امنیتی SlowMist طراحی شده است. این اسکنر بررسی‌های استاتیک (Static Analysis) را در ۱۱ دسته‌بندی «پرچم قرمز» (Red-flag) روی فایل‌های README و کد منبع هر مهارت اجرا کرد تا نقاط ضعف را شناسایی کند.

این ابزار به‌دنبال الگوهای مشخصی از رفتارهای مخرب بود، از جمله:

• استخراج داده‌های خروجی (Exfiltration) با استفاده از دستوراتی مثل curl -d $(...)).
• شکار اعتبارنامه‌ها (Credential Harvesting) مانند دستور env | grep -i token برای یافتن توکن‌ها.
• خواندن غیرمجاز دایرکتوری‌های حساس سیستمی مانند .env ، .ssh یا .aws.
• استفاده از اسکریپت‌های نصب curl | sh و تلاش برای ارتقاء سطح دسترسی (Privilege Escalation).
• ترکیب مکانیسم‌های استخراج رمزهای محرمانه و ایجاد دسترسی‌های پایدار در سیستم.

ابعاد ریسک

از میان ۱۱۷٬۸۵۴ مهارت فهرست‌شده که مورد تحلیل قرار گرفتند، این مطالعه نشان داد که اکثریت قریب به اتفاق آن‌ها برای بازرسان امنیتی نامرئی هستند و هیچ بررسی دقیقی روی آن‌ها صورت نگرفته است.

• تنها ۲۰٬۸۵۳ مهارت (۱۷.۷٪) توانستند به حد نصاب محبوبیت ۵ ستاره برسند تا از نظر آماری ارزش رتبه‌بندی و بررسی داشته باشند.
• حدود ۹۷٬۰۰۰ مهارت عملاً ناشناخته و بازرسی‌نشده باقی مانده‌اند و به همین دلیل با برچسب «خاکستری» علامت‌گذاری شده‌اند، زیرا هیچ‌کس آن‌ها را بررسی نکرده است.
• در میان مواردی که رتبه‌بندی شده‌اند، ۸.۴٪ دارای نوعی نگرانی امنیتی هستند.
• به‌طور مشخص، ۳.۱٪ (یا تقریباً یک مورد از هر ۳۲ مهارت) به‌عنوان «ناامن» یا «رد شده» شناخته شدند؛ این یعنی حدود ۶۵۰ ابزار پرخطر دقیقاً در کنار ابزارهای ایمن در نتایج جست‌وجو قرار دارند و کاربران را تهدید می‌کنند.

آسیب‌پذیری «دم بلند» (Long Tail)

داده‌ها آشکار می‌کنند که میزان محبوبیت یک ابزار، پیش‌بینی‌کنندهٔ بسیار قوی برای ایمنی آن است. ریسک اصلی در ابزارهای گمنام، نیش و تخصصی نهفته است که کاربران اغلب برای انجام کارهای بسیار خاص به سراغ آن‌ها می‌روند:

• مهارت‌های با بیش از ۱٬۰۰۰ ستاره: نرخ ناپایداری و ناامنی آن‌ها تنها ۰.۴٪ است.
• مهارت‌های بین ۱۰۰ تا ۱٬۰۰۰ ستاره: این نرخ ریسک به ۰.۹٪ افزایش می‌یابد.
• مهارت‌های بین ۲۰ تا ۱۰۰ ستاره: میزان ناامنی به ۳.۷٪ می‌رسد.
• مهارت‌های بسیار گمنام (۵ تا ۲۰ ستاره): نرخ ناامنی با جهشی شدید به ۴.۱٪ می‌رسد.

سطوح حمله مخصوص عامل‌ها

این تحلیل دسته‌بندی جدیدی از تهدیدات را شناسایی کرده است که به‌طور خاص معماری‌های عامل-محور را هدف قرار می‌دهند. فراتر از ریسک‌های کلاسیک شل — مانند استفاده از sudo در ۴۸۳ مورد، نصب سرویس‌های پس‌زمینه در ۱۵۲ مورد و اسکریپت‌های curl | shell در ۹۹ مورد — اسکنر تهدیداتی را یافت که تنها به دلیل این واقعیت که کاربر در حال اجرای یک «عامل» است، وجود دارند:

• سرقت پیکربندی عامل (۸۷ مورد): تلاش برای خواندن فایل‌های تنظیمات Claude یا MCP.
• سرقت حافظهٔ عامل (۲۳ مورد): دزدیدن بستر (Context) ذخیره شده و دسترسی به اعتبارنامه‌ها از طریق پروکسی.
• سایر ریسک‌های شناسایی شده: استفاده از سرویس‌های تونل (۶۶ مورد)، بهره‌برداری از دستور eval() (۵۲ مورد) و دسترسی به متغیرهای محیطی حساس (۳۴ مورد).

این چالش‌ها نشان می‌دهد که حتی با وجود پیشرفت‌ها، تهدیدات بومی عامل‌های هوش مصنوعی می‌توانند لایه‌های امنیتی مدرن را به دلیل شبیه‌سازی رفتارهای توسعه‌گر دور بزنند و سیستم‌ها را در معرض خطر قرار دهند. این رویکرد مبتنی بر الگو، به عنوان «حد پایین» ریسک در نظر گرفته می‌شود. گزارش به یک مطالعه آکادمیک در سال ۲۰۲۶ اشاره می‌کند (Liu et al., arXiv:2601.10338) که نشان می‌دهد وقتی به‌جای تطبیق ساده‌ی الگوها از «تحلیل معنایی» (Semantic Analysis) استفاده شود، نرخ آسیب‌پذیری مهارت‌های عامل‌ها به‌طور چشمگیری تا ۲۶.۱٪ افزایش می‌یابد.

برای توسعه‌دهندگان، این یافته‌ها پیش‌فرض‌های بنیادی بازار مهارت‌های عامل را تغییر می‌دهد. راحتیِ دسترسی به کاتالوگ‌های وسیع مهارت‌ها، اکنون به یک بدهی (Liability) امنیتی تبدیل شده است، مگر اینکه با بازرسی‌های برنامه‌ریزی‌شده همراه باشد. در حالی که تلاش‌هایی برای بهبود مدیریت حافظه در این سیستم‌ها وجود دارد و استک اورفلو با معرفی APIهای جدید برای عامل‌ها سعی در جلوگیری از تکرار اشتباهات گذشته دارد، اما اعتماد را نمی‌توان صرفاً از روی رتبه‌ها یا نتایج جست‌وجو استنباط کرد؛ بلکه باید از طریق تحلیل استاتیک کد منبع و فایل README تأیید شود.

گام بعدی شما

کاربران می‌توانند اکنون با استفاده از ابزارهای ارائه شده، این ریسک‌ها را کاهش دهند:

• از Agent Skills Hub CLI برای فیلتر کردن ابزارها استفاده کنید: با اجرای دستور npx @agentskillshub/cli search "[query]" --safe می‌توانید هر مهارتی که بازرسی نشده یا به عنوان ناامن علامت‌گذاری شده است را حذف کنید و فقط ابزارهای ایمن را بیابید.
• برای بررسی مستقیم یک مخزن خاص، دستور npx @agentskillshub/cli audit owner/repo را اجرا کنید تا دقیقاً متوجه شوید کدام پرچم‌های هشدار فعال شده‌اند.
• هرگز مهارت‌های با ستاره کم (زیر ۱۰۰ ستاره) را بدون بررسی دستی کد منبع نصب نکنید.

اما داستان سخت‌افزاری این تحول حتی شگفت‌انگیزتر است — به تحلیل ما درباره‌ی تراشه‌های Blackwell مراجعه کنید.