有人反映刚安装的 AI 工具被莫名其妙植入了广告,这其实是插件/技能安全问题。
问题根源
技能市场是开放的,任何人都可以发布技能。部分恶意开发者会在技能中夹带私货:
- 植入广告代码
- 窃取 API Key
- 收集用户数据
- 挖矿脚本
安全数据
安全公司检测发现,某主流技能市场中约 12% 的技能存在安全隐患,涉及数百个恶意技能包。
防护建议
- 只安装高下载量、有口碑的技能
- 安装安全审计类技能:先装安全工具,再装其他技能
- 定期检查已安装技能列表:发现可疑的立即卸载
- 设置 API 调用限额:防止被恶意技能偷偷消耗 Token
- 在沙箱环境运行:隔离潜在风险
AI 工具的开放生态是优势也是风险,大家一定要注意安全。