2026 年 4 月底,Five Eyes 的網路安全機構——美國 CISA 與 NSA、澳洲 ASD-ACSC、 加拿大 Cyber Centre,以及英國與紐西蘭的 NCSC——發布了《Careful Adoption of Agentic AI Services》。其中一句話扛起整份指引的重量:
understand dependencies — manage supply chain risk for third-party components, models, tools and integrations.
他們很明確地指出風險藏在哪。指引寫道,MCP「驗證的是工具介面,而非底層實作」—— 你的 agent 信任了它從未讀過的外部程式碼。
所以我們去讀了。我們掃了五個公開 registry 的 96,096 個 AI agent skill 與 MCP server 定義檔。其中 1,302 個觸發了偵測規則,人工複審後 552 個確認為惡意—— 憑證竊取、靜默外滲、把命令執行藏在 agent 當成指令照單全收的工具描述裡。三個 協同的發布者帳號出貨了其中絕大多數。
指引要你驗證第三方元件。Agent Threat Rules(ATR)就是做這件事的開放、MIT 授權規則集——651 條偵測規則,對任何 skill 或 MCP manifest 秒級掃描。機構點出了 缺口;這個填上它。
指引點名的,正是我們抓到的
那批惡意元件不是理論。許多是不安全或被入侵的 MCP server,允許未認證的遠端命令 執行——ATR-2026-00531(PraisonAI 未認證 agent API,CVE-2026-44338)、ATR-2026-00538(LangChain-ChatChat MCP RCE,CVE-2026-30617)、ATR-2026-00415(Flowise MCP 注入,CVE-2026-40933)各覆蓋一種。 另一半是工具描述下毒——ATR-2026-00161 抓 MCP 工具描述裡的IMPORTANT 標籤跨工具遮蔽攻擊,ATR-2026-00103 抓藏在工具 描述裡、要 LLM 無視安全機制的指令。
說清楚這是什麼:pattern 偵測抓的是已知形狀,不是讀心。用 char code 拼出名稱、 或走 DNS 外滲的變種會滑過。把它當其中一層,不是唯一一層——但這一層,是指引要你 建立的「第三方元件驗證」裡,唯一可以今天就跑起來的那塊。
跑起來
npm install -g [email protected]
npx agent-threat-rules scan .指向你的 skill 目錄或 MCP 設定。如果它標記了一個你沒寫的元件,把它當成不可信, 在你的 agent 接上它之前先處理掉。規則是開放的——讀它、測它、把我們漏掉的變種寄 給我們。