推荐语
SkillSpector帮你识别恶意Agent Skill,避免安全风险,英伟达开源项目已获1.1万星。核心内容:1. Agent Skill的普遍安全隐患与英伟达的开源解决方案2. SkillSpector的两阶段检测机制与高精度扫描3. 多种安装方式与集成到Claude等工具的实践指南
杨芳贤
53AI创始人/腾讯云(TVP)最具价值专家
自从 Anthropic 推出 Agent Skills 后,各大公司纷纷将产品封装成 Skill 给大家调用。
现在市面上的 Skill 可谓是五花八门,大部分人都是看到一个觉得好的就随手安装了。
很少有人会停下来思考,看下这些 Skill 里面是否藏着一些坏心思,有没有恶意命令。
当我们把它装到 Agent 工具之后,就相当于给了它执行权限,其实是非常危险的。
于是 NVIDIA 团队开源了 SkillSpector,一个 Agent Skill 安全扫描器。
在安装 Skill 之前,先帮我们对它进行安全扫描一遍,检查是否存在安全风险和恶意指令。
项目一经开源,便成为了大部分人电脑上必装的一个工具,目前已狂揽 10800+ Star。
英伟达也公布了一则数据,在 4 万多 Skill 里面,发现每 4 个就有 1 个是存在安全漏洞。
有一条数据更加扎眼,带有可执行脚本的 Skill,发现有漏洞的概率比普通的要高出 2.12 倍。
这也是英伟达团队为什么要做 SkillSpector 的原因之一,而且安全扫描覆盖范围非常广。
内置了 68 种漏洞模式,并且将它们分成 17 大类别,包括提示词注入、对话偷偷外传、越权获取 API 密钥等等。
对于信息源输入,可以是一个 Git 地址、一个目录、一个压缩包甚至是单个 SKILL.md 文件,都可以扫描。
那它是怎么保证安全得准?主要提供了两个阶段检测。
第一步是静态快扫。对每个文件的代码进行扫描一篇,挑出可疑地方。
还会整理用到的第三方依赖,然后放到公开的漏洞库里对比,看有有没有匹配到。
第二步再让大模型做判断,结合上下文把第一步的误报过滤掉,将精度提升约 87%。
整个扫描过程,从头到尾不会先执行被扫的 Skill,而且纯查看其代码和内容。
第二步使用到的大模型,默认会把 Skill 文件内容发送给我们配置的模型供应商。
支持接入 OpenAI、Anthropic,也支持通过 Ollama 接入本地模型。
当扫描任务完成后,给出一个 0 到 100 的安全风险值,分数越低越安全,再配一句结论总结和建议。
对于一些比较复杂的 Skill,第一次扫描,有可能会出现几条误报的信息。
此时如果我们看过、确认没问题的,可以让它记录下来,后面重扫就会自动跳过。
如何使用 SkillSpector,项目提供了多种安装方式,包括本地安装、Docker 和 MCP。
我建议把 SkillSpector 作为 MCP,安装到任何支持 MCP 的 Agent 工具里使用。
首先通过 pip 命令,把 SkillSpector 带 MCP 支持的版本安装到本地:
pip install "skillspector[mcp]"
装好后,把它添加到 Claude Code 使用,也就一行命令的事。
claude mcp add skillspector
如果是团队使用场景,还能将它接进 CI 流水线,把安检关卡设在合并代码那一步。
写在最后
在这大半年里,Agent Skill 生态发展的实在太快,已经有数不清的各种各样 Skill。
但安全审计这块领域基本还是空的,大部分人都没意识到所安装的 Skill 可能存在风险。
NVIDIA 开源的 SkillSpector,正好能帮我们给安装到 Skill 加入一道安检。
往后安装的 Skill 只会越装越多,安装它们之前,先用 SkillSpector 扫描一遍安心一点。
GitHub 项目地址:https://github.com/NVIDIA/SkillSpector
今天的分享到此结束,感谢大家抽空阅读,我们下期再见,Respect!
粤ICP备14082021号
免费POC,
零成本试错
