攻擊先發生在野外。
一個偵測標準若只活在規格書裡,就沒有意義。
ATR 掃描了 96,096 個真實 skill,標記 1,302 個有風險、確認 552 個為惡意軟體,
並把背後的行為者公開記錄下來。
名單與規則都以 MIT 授權公開——任何人都能查詢、引用、自行核對。
ATR 不只列規則,也追蹤寫出這些攻擊的人。以下三個行為者在同一次掃描中被揪出——他們把惡意 skill 偽裝成錢包工具、圖像生成器、商業助手,散佈到公開 registry。每個檔案都附上實際證據:C2 位址、封存檔密碼、命名模式、對映的 ATLAS 技法。野外觀察到的手法,變成回流標準的偵測規則。
OpenClaw 上 100% 惡意的發布者,散佈 354 個偽裝成加密貨幣與 Google Workspace 工具的中毒 skill。利用密碼保護封存檔與貼片服務繞過自動掃描。
三個行為者中手法最直接的一個。散佈內含 base64 編碼 curl-to-bash payload 的 skill,回呼 C2 伺服器 91.92.242.30 取得任意指令執行能力。
以商業工具偽裝鎖定中文開發者。混合惡意與良性 skill(72% 惡意)以建立可信度並規避移除。
同一套規則也用來證明乾淨。這些 skill 通過最新一次 ATR 768 條規則掃描,
零 CRITICAL / HIGH 發現——同一個可稽核標準,既標記惡意,也背書良性。
所有被標記的 skill 都在一份機器可讀的 blacklist.json 裡——每筆都附上命中規則與證據。任何 CI、registry 或 agent framework 都能直接拉取,不需註冊、不需金鑰、不收過路費。
此清單由開放的 ATR 生態系掃描自動產生,
並以 MIT 授權的規則為本體。
被標記是訊號,不是定罪 —
請對照命中的規則自行判斷。
認為標錯了?開一個 GitHub Issue,我們公開審。
Threat Cloud 是 ATR 維護者運營的選用參考服務,並非標準的一部分。標準本體是規格加上 MIT 授權的規則,透過 npm / PyPI / 純 YAML 完全可離線使用;Threat Cloud 只提供 hosted 便利(規則同步、威脅提交),不用它也能達到同樣結果。