導讀:想像一下,你只是叫 AI 幫你把專案跑起來。幾秒後,它已經安裝依賴、改完檔、準備送出 PR。要是第一個套件就帶著後門,風險就不會停在你眼前這台機器。
一個套件,為什麼會放大成整條供應鏈事故?
關鍵不是套件有毒,而是 Agent 會把毒帶著跑。
2026 年初,AI 安全社群開始反覆提醒同一件事:只要一個熱門依賴被植入後門,後果已經不是「某位工程師手滑裝到壞套件」,而是整條自動化工作鏈一起被拖下水。這很要命。
人類安裝套件,通常還有幾個喘息點。你會看到安裝指令。你會看到 log。你也可能對陌生的 post-install script 起疑。可是一旦同樣的工作交給 Agent,情況就變了。它收到「幫我把這個專案跑起來」之後,很可能一路自動做完:拉 repo、安裝相依、執行建置、補缺檔案、送出修正。整段流程裡,可能是 0 次人工確認。
真正可怕的不是安裝本身,而是 Agent 後面還接著一串權限。它常常不只會 pip install 或 npm install,還會寫檔案、跑 shell、讀環境變數、發 HTTP 請求,甚至替你開 PR。少了 hook,它就像一條不會停的輸送帶。守門的人一打瞌睡,問題就會一路堆積。
圖 1:同一個受感染套件進入 Agent 流程後,不只會污染當前專案,還可能順著寫檔、發 PR、呼叫其他環境這些能力把爆炸半徑往外推。
Agent 為什麼比人更容易把風險放大?
Agent 的危險,不在惡意,而在它幾乎不會自己停手。
問題不在於 Agent 比人「更壞」,而在於它比人更聽話。人看到奇怪訊號,多少還會停一下;Agent 的工作哲學則是把任務完成到最後一哩。它太快了。也太直了。
這會把風險放大成 3 個方向:
- 速度:人類安裝一個專案可能要幾分鐘,Agent 幾秒就做完,留給你注意異常的窗口短得多。
- 規模:人一次通常只盯一個 repo,Agent 卻可能同時處理多個專案、分支與測試環境。
- 信任傳遞:Agent A 產出的程式碼被 Agent B 接手,B 的輸出再被 Agent C 使用。鏈一長,問題就不再容易追。
你可以把它想成自動倉儲。人工倉儲出錯,頂多是一箱貨送錯地方;全自動倉儲的條碼一旦被污染,整條輸送帶都會一起送錯。就像把壞零件丟進自動工廠一樣,錯誤不會只停在第一站。它會往後滾。
不過,研究範圍不是要宣告「每一個 Agent 都會自己變成惡意軟體」。真正要記住的是,只要它握有安裝、寫檔、發 PR、呼叫外部服務這些能力,後門的爆炸半徑就會被放大,而且放大的速度比人快。這不是補漆等級的小問題。
三道防線
防線不是神祕技術,而是把停損點前移。
好消息是,這不是無解的問題。你不需要把 Agent 全部關掉,而是要先把柵欄立起來。先擋。再放。
第一道是 白名單攔截。像 Claude Code 這類工具已經提供 PreToolUse hook,能在 Agent 執行安裝指令前先過濾一次。只放行你核准的套件與版本,其他一律停下來。這件事聽起來不華麗,卻最有效。白名單就是在門口管著誰能進來。
第二道是 Skill 安全審查。如果你的 Agent 會載入第三方 Skill 或外部工具模組,先跑一次 skill-vetter 這類檢查,把可疑的檔案操作、網路請求與權限提升行為抓出來。不要讓「能裝就裝」變成預設。
第三道是 最小權限原則。處理文件的 Agent,不需要網路;整理筆記的 Agent,不需要寫入系統檔;做分析的 Agent,不需要替你對外送 PR。權限不是獎勵,權限是爆炸半徑。你少給一把鑰匙,後門就少一條逃脫路線。
圖 2:人類流程還有停下來檢查 warning 的機會;Agent 流程若沒有 hook、審查與最小權限,會一路把任務做完,也一路把風險帶到底。
把這 3 道防線一起看,你就會發現重點其實不是「怎麼讓 Agent 更聰明」,而是「怎麼讓它在該停的地方真的停下來」。
核心認知
你真正要信任的,不是能力,而是邊界。
如果你是開發者,最實際的動作很簡單:先檢查你的 Agent 會不會自動安裝依賴,會的話,把白名單與版本鎖定補上。再問自己一句話:這個 Agent 現在拿到的權限,哪些其實不是完成任務所必需?
如果你不是開發者,這篇文章和你一樣有關。今天很多 AI 助手已經能讀檔、改檔、瀏覽網頁、連第三方服務。你也許沒有在寫程式,但你已經把「會用工具的 Agent」帶進工作流。差別只在你有沒有幫它設護欄。
自主不等於可信。 成熟的 AI 系統從來不是「什麼都能做」的系統,而是知道自己哪裡該被擋下來的系統。
References
- Et Tu, Agent? Did You Install the Backdoor? (2026). AI 安全研究社群.
- Anthropic (2026). 8 Claude Code Hooks That Automate What You Keep Forgetting. Anthropic Blog.
- 泊舟 (2026). 實戰教學:從 0 到 1 寫出自己的 Skill — skill-vetter 段落. 技術專欄.
常見問題
我不是開發者,這和我有關係嗎?
有。任何使用 AI 助手幫你處理文件、搜尋資料、甚至瀏覽網頁的人,都在使用具備工具呼叫能力的 Agent。被感染的 Agent 可能在你不知情的情況下讀取或傳送你的資料。
完全信任開源套件是問題嗎?Agent 能自動辨識惡意程式碼嗎?
目前大多數 Agent 沒有主動資安審查能力,它們依照指令執行,不會質疑套件行為是否異常。防護需要靠設計層面的沙箱隔離、最小權限原則,以及人工審核流程。