新插件入口需要新闸门
SkillSpector 是一个 AI agent skill 安全扫描器。这个范围看起来窄,但 skill 的实际权限并不窄。一个 skill 可能带指令、脚本、元数据、MCP 配置和社会工程文本,而 agent 读取它时往往正处在开发者工作区里,旁边有文件、shell、网络和凭证上下文。
README 用两组数字解释动机:26.1% 的 skills 含漏洞,5.2% 呈现疑似恶意意图。这里应把它看作作者研究背景下的说法,不是全网基线。真正重要的是另一点:skills 已经是供应链,只读 README 再安装已经不够。
它具体扫什么
SkillSpector 把静态检测和可选 LLM 语义评估放在一起。静态侧覆盖 16 类 64 个漏洞模式,包括 prompt injection、数据外传、提权、供应链、记忆污染、系统提示词泄露、危险代码、taint tracking、YARA 签名、MCP 最小权限和 MCP tool poisoning。输入可以是 Git 仓库、URL、zip、目录或单个 SKILL.md。
输出格式也很实用。终端输出适合本地看,JSON 和 Markdown 适合留审阅记录,SARIF 则适合团队接入 CI 和安全扫描工具。
安装和运行
README 要求 Python 3.12 或更新版本,并建议先创建虚拟环境。安装走仓库里的 Makefile:
git clone https://github.com/NVIDIA/skillspector.git
cd skillspector
uv venv .venv && source .venv/bin/activate
make install基本扫描命令很直接:
skillspector scan ./my-skill/
skillspector scan ./SKILL.md
skillspector scan https://github.com/user/my-skill
skillspector scan ./my-skill.zip --format sarif --output report.sarifLLM 分析不是必需项。不配置 LLM 时,它仍是静态扫描器。需要语义评估时,再通过环境变量接 OpenAI-compatible endpoint、Anthropic 或 NVIDIA inference endpoint。
人仍要读报告
这不是安全合格章。静态规则擅长抓已知形状:凭证搜集、过宽权限、远程脚本、隐藏指令和可疑编码。它对意图、依赖行为,以及只有放进特定 agent 工作流才危险的指令会弱一些。
所以 SkillSpector 最适合作为安装前闸门,不是唯一审查。公开 skill 入库前扫一遍。内部 skill 放进 CI,防止后续编辑悄悄加入网络外传或过宽 MCP 权限。高风险 skill 仍要把报告和源码一起读。
相关
如果你在安装或维护 agent skills,可以一起看 anthropics/skills、addyosmani/agent-skills 和 mattpocock/skills。更偏安全工作流的 skill 集合见 anthropics/defending-code-reference-harness。
FAQ
SkillSpector 必须接 LLM 吗? 不必须。它有静态检测,不接 LLM 也能运行。LLM 语义评估是可选项。
能直接扫 GitHub 仓库吗? 能。README 展示了扫描 Git 仓库 URL、本地目录、zip 和单个 SKILL.md 的用法。
团队应该用哪种输出格式? CI 和代码扫描更适合 SARIF。自定义工具更适合 JSON。
报告干净就代表 skill 安全吗? 不代表。它能降低明显风险,但你仍要读 skill 到底让 agent 做什么。