当 AI 代理(如 Claude Code、Codex CLI)开始自动执行任务,其加载的技能(skills)却几乎未经审查。NVIDIA 今日开源的 SkillSpector 瞄准这一空白:它能在安装前扫描 AI 代理技能中的漏洞、恶意模式和安全风险。项目今日新增 813 颗星,两天累计 826 星,成为 GitHub 日榜焦点。
这个项目在做什么
AI 代理技能——那些让 Claude Code 执行文件操作、让 Codex CLI 调用 API 的插件——正快速普及,但安全审查却严重滞后。研究显示,26.1% 的技能存在漏洞,5.2% 带有恶意意图。SkillSpector 正是为此而生:一个专门扫描 AI 代理技能的安全扫描器。
它支持多种输入格式:Git 仓库、URL、zip 文件、目录或单个文件。检测范围覆盖 16 类共 64 种漏洞模式,包括提示注入、数据外泄、权限提升、供应链攻击等。分析分两阶段:快速静态分析 + 可选的 LLM 语义评估。
为何此刻被关注
AI 代理正从演示走向生产。Claude Code、Codex CLI、Gemini CLI 等工具允许用户安装第三方技能,但缺乏安全审核机制。SkillSpector 的出现填补了这一空白。今日爆发直接关联其开源发布——NVIDIA 在社交媒体和开发者社区中推广,强调“安装前先扫描”。
此外,项目提供了与 OSV.dev 的实时 CVE 查询集成,以及多种输出格式(终端、JSON、Markdown、SARIF),使其能快速融入 CI/CD 流程。
技术上有何不同
与传统的 SAST 工具(如 Semgrep、CodeQL)不同,SkillSpector 专注于 AI 代理的独特攻击面。例如,它检测“指令覆盖”(Prompt Injection P1)和“隐藏指令”(P2),这些是传统扫描器无法捕捉的。
其两阶段分析设计值得关注:第一阶段用规则引擎快速扫描,第二阶段调用 LLM 进行语义理解。支持 OpenAI、Anthropic、NVIDIA 等多种 LLM 提供商,甚至可对接本地 Ollama 实例。这种混合方法在速度和深度之间取得了平衡。
项目还引入了“风险评分”(0-100),结合严重性标签和明确建议,帮助用户快速决策。
谁应该用它
- AI 代理平台开发者:在应用商店上架前自动扫描第三方技能。
- 企业安全团队:在允许员工使用 AI 代理技能前进行安全审查。
- 独立开发者:发布技能前自检,避免无意引入漏洞。
- CI/CD 工程师:集成到流水线中,每次技能更新自动扫描。
局限与开放问题
SkillSpector 目前专注于 Python 技能(AST 分析),对其他语言的支持有限。LLM 分析阶段依赖外部 API,可能带来延迟和成本。此外,64 种模式虽覆盖广泛,但面对新型攻击(如多步推理攻击)可能不足。项目仍处于早期阶段,文档中的“开发指南”部分提示其架构可能快速变化。
"26.1% 的 AI 代理技能存在漏洞,5.2% 带有恶意意图。"
"SkillSpector 在安装前回答:这个技能安全吗?"
"传统 SAST 工具无法检测提示注入,SkillSpector 专为此设计。"
核心亮点
数据来源:TrendForge 历史采集
NVIDIA 今日正式开源 SkillSpector,并在社交媒体和开发者社区中积极推广。项目精准切入 AI 代理安全这一新兴且紧迫的需求——随着 Claude Code、Codex CLI 等工具普及,用户开始意识到第三方技能缺乏审查。单日 813 星的增长表明开发者社区对此问题的高度关注。
AI 代理平台开发者(如构建技能商店)、企业安全团队(审查员工使用的代理技能)、CI/CD 工程师(集成到自动化流水线)、独立技能开发者(自检发布前)。
SkillSpector 的两阶段分析架构是其核心创新:第一阶段使用基于 AST 和 YARA 的规则引擎快速扫描,第二阶段调用 LLM 进行语义理解。这种设计在速度(规则引擎)和深度(LLM)之间取得了平衡。与 Semgrep 等通用 SAST 工具相比,它专门针对 AI 代理的攻击面,如提示注入和数据外泄。此外,与 OSV.dev 的实时集成使其能获取最新的 CVE 信息。
目前主要支持 Python 技能(AST 分析),对其他语言支持有限。LLM 分析依赖外部 API,可能增加延迟和成本。64 种模式虽广,但面对新型攻击可能不足。项目仍处于早期,文档提示架构可能快速变化。
