23.8万个AI技能背后的供应链暗战

当企业还在担心单个AI模型是否安全时，一个更隐蔽的战场已经成型：你的AI代理可能正在调用一个被恶意操纵的"技能"，而你现有的安全工具根本检测不到。

4月14日，Manifold Security发布了一份让安全团队脊背发凉的报告。他们扫描了多个公开的技能注册表，发现了超过23.8万个独特的AI技能——而这只是冰山一角。更棘手的是，恶意样本已经渗透进主流市场，其中一个被人工推广的技能被执行了数千次，专门窃取企业身份数据。

Manifest平台要解决什么问题

Manifold推出的Manifest平台，瞄准的是AI代理供应链的盲区。

传统安全工具的设计逻辑是"文件级分析"：扫描一个代码包，判断它是否包含已知恶意特征。但AI代理的运作方式完全不同——它由大量松散耦合的组件构成，每个组件自带信任假设、依赖关系和潜在漏洞。

Manifest的做法是构建两张图：

第一张是执行图（Execution Graph），追踪一个技能具体做了什么、调用了哪些外部服务、依赖什么底层组件。第二张是环境图（Environment Graph），记录作者身份、代码相似度、跨注册表的关联关系。

双重视角的意图很明确：风险往往藏在组件之间的关系里，而非单个文件内部。

为什么现有工具会集体失效

Manifold的报告揭示了一个尴尬的现实：当前市面上的AI组件扫描工具——包括静态分析器、大语言模型分类器、行为检测系统——检测结果差异巨大，对"什么是恶意的"几乎毫无共识。

问题的根源在于上下文缺失。

一个技能本身可能看起来无害，但它的作者上周刚发布过数据窃取工具；它依赖的某个库被三个其他恶意组件共用；它调用的API端点与已知攻击基础设施重合——这些跨组件的关联模式，传统工具无法捕捉。

Manifest试图用生态级数据填补这个缺口：作者活动历史、依赖链全貌、基础设施连接关系。目标是提升信号质量，减少误报。

免费策略背后的商业逻辑

Manifest的基础版本完全免费开放，索引了超过10万个资产，提供搜索、分析和审查功能。

这个选择值得玩味。AI安全赛道正在快速拥挤，Cisco、Palo Alto Networks、CrowdStrike等巨头都在布局。Manifold作为创业公司，用免费数据库建立行业标准认知，再把企业级功能——浏览器扩展分析、模型上下文协议服务器监控——打包进付费平台，是典型的"数据层免费、工作流层收费"策略。

更深层的考量可能是网络效应：谁掌握了最全面的AI组件关系图谱，谁就能定义这个新兴领域的风险基准。

这件事为什么重要

AI代理的供应链复杂度正在指数级膨胀。一个典型企业场景可能涉及：基础模型来自OpenAI或Anthropic，编排框架用LangChain或LlamaIndex，技能从十几个注册表拼凑，再通过MCP服务器连接内部数据库和SaaS工具。

每一层都是潜在的攻击面，而责任边界模糊得可怕——模型提供商不保证第三方技能的安全，技能作者不承诺依赖库的维护，企业安全团队甚至不知道代理在运行时调用了什么。

Manifest的出现，标志着AI安全从"模型对齐"转向"系统级可见性"。这不是更复杂的扫描器，而是试图建立一套新的观察范式：把AI代理当作分布式软件供应链来治理，而非孤立的黑盒。

当然，挑战同样明显。图谱的覆盖度取决于数据源的开放性，而主流AI平台正在加速封闭化；作者身份验证在匿名化的开源生态中难以落地；更重要的是，攻击者同样可以利用关系图谱来寻找高价值目标。

当AI代理开始自主决策、自主调用工具时，我们是否真的理解它们依赖的整条链条？如果答案是否定的，那么Manifest这类平台就不是可选项，而是基础设施——问题是，谁来定义这套基础设施的规则？