当你的AI编程助手开始执行第三方技能脚本时谁来保证这些脚本不是后门NVIDIA给出了一个答案。一、一个正在被忽视的安全缺口如果你在用 Claude Code、Codex CLI 或者 Gemini CLI大概已经习惯了装个技能这个操作——从 GitHub 上找一个 skill repogit clone下来放进 agent 的技能目录下一条命令就能调用了。这个流程的便利性堪比 2010 年代的 npm install但安全性也堪比那个时期的 npm几乎没有任何安全检查。NVIDIA 今天开源了 SkillSpector——一个专门针对 AI Agent 技能的安全扫描器。它的核心问题就一个这个技能安全吗这个问题不是凭空问的。SkillSpector 研究团队扫描了公开的 agent 技能仓库结果是26.1% 的技能存在已知漏洞5.2% 显示明确的恶意意图。十分之一的技能可能带毒。这不是夸大其词。想想 Agent 技能和传统 npm 包的区别对比维度npm 包Agent 技能文件执行环境沙箱隔离直接嵌入 Agent 上下文数据可见度限定的 API全部对话/代码/文件攻击面有限的输入点prompt 注入、工具调用、输出处理更新频率有版本控制文件直接覆盖检测工具成熟Snyk/npm audit几乎没有npm 生态花了十几年才建立安全体系。Agent 技能生态今天的状态就像 2014 年的 npm——遍地都是机会也遍地都是风险。SkillSpector 试图填补这个空白。二、SkillSpector 的核心能力SkillSpector 不是单一功能的扫描器它是一套多层次的分析管道。2.1 输入即一切SkillSpector 可以扫描Git 仓库skillspector scan https://github.com/user/my-skill本地目录skillspector scan ./my-skill/单个文件skillspector scan ./SKILL.mdzip 包skillspector scan ./my-skill.zip这个设计意味着你可以在安装前、CI/CD 中、甚至在编辑器里随时调用它。2.2 64 个检测模式16 个类别这是 SkillSpector 真正的干货。它的检测覆盖了目前已知的几乎所有 Agent 攻击面Prompt 注入类恶意技能能否在 prompt 中隐藏指令让 Agent 执行非预期的行为。数据泄露类技能是否会读取敏感文件并发送到外部端点。权限滥用类技能是否会调用超出实际需要的工具。供应链攻击类技能是否引入了已知漏洞的依赖。系统提示泄露类技能是否会尝试提取 Agent 的系统 prompt。内存投毒类技能是否会向 Agent 的记忆存储写入恶意数据。每一类都有具体的规则定义。对于有代码的技能文件还会做 AST 级静态分析。2.3 两阶段分析先快后准第一阶段是快速静态分析扫描全部 64 个模式秒级出结果不需要 LLM。第二阶段是可选的 LLM 语义分析对第一阶段发现的疑似问题调用 LLM支持 OpenAI、Anthropic、NVIDIA 自研模型做深度语义评估。这个设计很聪明——快速过滤掉明显无害的技能只对有疑问的技能调用昂贵的 LLM 评估。实测中大多数技能在第一阶段就能过关。2.4 风险评分每个检测结果给出 0-100 的风险评分和严重级别附清晰的修复建议。输出格式支持 Terminal漂亮格式化、JSON、Markdown、SARIF。SARIF 格式意味着可以直接集成到 VS Code 和 GitHub Code Scanning 里。# 扫描一个本地技能目录skillspector scan ./my-skill/# 输出示例Terminal 格式# ⚠️ Medium: 可能的 prompt 注入模式 detected in greeting.md# File: ./my-skill/greeting.md:12# Risk: 72/100# Suggestion: 移除内联指令使用参数化模板三、它解决的是整个 Agent 生态的信任问题SkillSpector 解决的不只是这个技能有没有病毒这种短期问题。Agent 技能生态面临的核心挑战是分布式信任。你的 Agent 技能来自几十个不同的 GitHub 仓库每个仓库的维护者背景不一、安全意识参差不齐。SkillSpector 给出的不是一个二元的安全/不安全而是一个可追溯的检测报告。这个思路和 npm audit、Snyk 的哲学一致不假设所有包都是恶意的但也不盲目信任。通过自动化的、可重复的安全检查把信任决策从盲信变成可验证的信任。对于企业用户来说这更重要。当你的团队在共享的 Agent 配置中使用第三方技能时一个人引入的恶意技能可能影响整个团队的安全。一个统一的扫描策略——在 CI 中集成 SkillSpector技能变更时自动触发扫描——可以大幅降低这种风险。四、对比现有方案Agent 技能安全是个相对空白的领域但也不是完全没有方案。工具来源核心能力限制SkillSpectorNVIDIA64检测模式LLM语义分析SARIF输出新项目规则仍在扩展Agent Jacking (Tenet)Tenet SecurityMCP协议攻击面研究只研究无扫描工具PromptArmorPromptArmorprompt 注入检测只检测 prompt 风险Anthropic 安全机制Anthropic跨产品Claude隔离偏向产品层非开放工具SkillSpector 的核心差异化在于它同时覆盖了 prompt 层、代码层和供应链层。其他工具通常只做其中一项。而且它开源、免费、支持容器化部署门槛极低。不过 SkillSpector 也有明显的不足规则仍在快速迭代中。64 个模式听起来多但 agent 攻击手法的发展速度可能更快。LLM 语义分析依赖外部 API。虽然静态分析已经够好了但如果你要用全量 LLM 分析需要配置 OpenAI 或 Anthropic 的 key有额外的成本和隐私顾虑。没有运行时监控。SkillSpector 做的是安装前扫描但 Agent 在运行时的行为它管不了。未来可能需要和 eBPF/沙箱等运行时安全方案配合。五、Agent 安全的未来方向SkillSpector 的出现不只是又一个安全工具。它标志着一个转变Agent 技能正在成为一种新的软件制品需要对应的安全基础设施。回想一下当容器刚普及时Docker 镜像扫描Clair/Trivy随之出现。当 npm 生态成熟时npm audit 成为标配。今天的 Agent 技能正好处在这个节点上——生态在爆发安全缺口在扩大而 SkillSpector 是第一个试图系统性地回答这个问题的开源工具。未来 12-18 个月的几个趋势值得关注运行时扫描安装前扫描只是第一步。Agent 在执行过程中的行为监控——调用了什么工具、访问了什么文件、向外发送了什么数据——才是一个更完整的方案。规则社区化Agent 安全的规则库和其他安全工具一样需要社区持续贡献。SkillSpector 的检测模式会随着社区发现的新攻击手法而快速增长。合规集成当企业开始大规模使用 Agent 时我们扫描过这些技能会成为合规审计的一部分。SARIF 输出和 CI/CD 集成是这个方向的基础设施。回到开头的问题当你的 Agent 开始执行第三方技能时谁来保证安全NVIDIA 说你应该有一个专门的扫描器。Agents 不应该盲目信任——工具应当替你做安全检查。SkillSpector 的价值不在于完美**——**它远非完美。它的价值在于打破了Agent 技能不需要安全检查这个默认假设。项目地址github.com/NVIDIA/SkillSpector安装方式gitclone https://github.com/NVIDIA/skillspector.gitcdskillspectormakeinstallskillspector scan ./your-skill/注本文数据引用自 SkillSpector README26.1%漏洞率、5.2%恶意意图及 NVIDIA 研究团队的公开数据。实测效果可能因技能类型和扫描配置而有所差异。