一句話總結
NVIDIA 開源的 AI Agent Skill 安全掃描器。安裝 Skill 之前先掃描——檢測 64 種漏洞模式 × 16 個風險類別,涵蓋提示注入、數據洩露、權限提升、供應鏈攻擊等。
為什麼需要 SkillSpector?
AI Agent 生態系統中,任何人都可以發布 Skill。這些 Skill 以隱式信任運行,幾乎沒有審查機制。
NVIDIA 的研究顯示:
- 26.1% 的 Skill 包含漏洞
- 5.2% 顯示可能的惡意意圖
你有 200+ 個已安裝的 Skill,從來沒有做過安全掃描。
功能特點
| 功能 | 說明 |
|---|---|
| 多格式輸入 | Git repos、URLs、zip 文件、本地目錄、單個文件 |
| 64 種漏洞模式 | 16 個風險類別,從提示注入到供應鏈攻擊 |
| 兩階段分析 | 快速靜態分析 + 可選 LLM 語義評估 |
| 即時 CVE 查詢 | 連接 OSV.dev 獲取即時漏洞數據 |
| 多種輸出格式 | Terminal / JSON / Markdown / SARIF |
| 風險評分 | 0-100 分 + 嚴重等級 + 具體建議 |
16 個風險類別 × 64 種檢測模式
🔴 高風險類別
| 類別 | 模式數 | 典型檢測 |
|---|---|---|
| Prompt Injection | 5 | 指令覆蓋、隱藏指令、數據外洩命令 |
| Data Exfiltration | 4 | 外部傳輸、環境變量收集、上下文洩露 |
| Dangerous Code (AST) | 6 | eval() / exec() / subprocess / os.system() |
| Supply Chain | 4 | 未驗證依賴、URL 下載執行、pip install 注入 |
🟡 中風險類別
| 類別 | 模式數 | 典型檢測 |
|---|---|---|
| Privilege Escalation | 3 | 過度權限請求、sudo/root 執行 |
| Excessive Agency | 4 | 超出聲明功能的自主行為 |
| Output Handling | 3 | 未過濾輸出、敏感資訊洩露 |
| System Prompt Leakage | 3 | 系統提示詞提取 |
| Memory Poisoning | 4 | 記憶污染、長期潛伏指令 |
| Tool Misuse | 4 | 工具濫用、未授權操作 |
🟢 低風險但重要
| 類別 | 模式數 | 典型檢測 |
|---|---|---|
| Rogue Agent | 3 | 自我複製、未授權 spawn |
| Trigger Abuse | 3 | 定時觸發器、隱藏激活條件 |
| Taint Tracking | 5 | 用戶輸入污染追蹤 |
| YARA Signatures | 4 | 已知惡意模式匹配 |
| MCP Least Privilege | 3 | MCP 工具最小權限檢查 |
| MCP Tool Poisoning | 3 | MCP 工具投毒檢測 |
使用方式
安裝前掃描(最重要)
# 掃描 GitHub 倉庫(安裝前)
skillspector scan https://github.com/someone/some-skill
# 掃描本地目錄
skillspector scan ./my-skill/
# 僅靜態分析(快速)
skillspector scan ./my-skill/ --no-llm
LLM 語義分析
export SKILLSPECTOR_PROVIDER=openai
export OPENAI_API_KEY=sk-...
skillspector scan ./my-skill/
支援 OpenAI / Anthropic / NVIDIA NIM / 本地 Ollama。
CI/CD 集成
SARIF 輸出格式可直接集成 GitHub Code Scanning:
skillspector scan ./my-skill/ --format sarif --output report.sarif
Docker(無需安裝 Python)
docker run --rm -v "$PWD:/scan" skillspector scan ./my-skill/ --no-llm
對我哋的價值
我們有 200+ 個 Skill,零安全掃描。
| 行動 | 優先級 |
|---|---|
| 對所有已安裝 Skill 做一次批量掃描 | 🔴 P0 |
| 安裝新 Skill 前強制掃描 | 🔴 P0 |
| 集成到 CI/CD,每次 Skill 更新自動掃描 | 🟡 P1 |
| 建立 Skill 安全白名單/黑名單 | 🟢 P2 |
技術棧: Python 3.12+ · LangGraph · SARIF 2.1.0 授權: Apache 2.0 | Repo: NVIDIA/SkillSpector