自从 Anthropic 推出 Agent Skills 后,各大公司纷纷将产品封装成 Skill 给大家调用。

现在市面上的 Skill 可谓是五花八门,大部分人都是看到一个觉得好的就随手安装了。

很少有人会停下来思考,看下这些 Skill 里面是否藏着一些坏心思,有没有恶意命令。

当我们把它装到 Agent 工具之后,就相当于给了它执行权限,其实是非常危险的。

于是 NVIDIA 团队开源了 SkillSpector,一个 Agent Skill 安全扫描器。

在安装 Skill 之前,先帮我们对它进行安全扫描一遍,检查是否存在安全风险和恶意指令。

项目一经开源,便成为了大部分人电脑上必装的一个工具,目前已狂揽 10800+ Star。

image-20260626190657909

英伟达也公布了一则数据,在 4 万多 Skill 里面,发现每 4 个就有 1 个是存在安全漏洞。

有一条数据更加扎眼,带有可执行脚本的 Skill,发现有漏洞的概率比普通的要高出 2.12 倍。

这也是英伟达团队为什么要做 SkillSpector 的原因之一,而且安全扫描覆盖范围非常广。

内置了 68 种漏洞模式,并且将它们分成 17 大类别,包括提示词注入、对话偷偷外传、越权获取 API 密钥等等。

对于信息源输入,可以是一个 Git 地址、一个目录、一个压缩包甚至是单个 SKILL.md 文件,都可以扫描。

image-20260626190734728

那它是怎么保证安全得准?主要提供了两个阶段检测。

第一步是静态快扫。对每个文件的代码进行扫描一篇,挑出可疑地方。

还会整理用到的第三方依赖,然后放到公开的漏洞库里对比,看有有没有匹配到。

第二步再让大模型做判断,结合上下文把第一步的误报过滤掉,将精度提升约 87%。

image-20260626190830132

整个扫描过程,从头到尾不会先执行被扫的 Skill,而且纯查看其代码和内容。

第二步使用到的大模型,默认会把 Skill 文件内容发送给我们配置的模型供应商。

支持接入 OpenAI、Anthropic,也支持通过 Ollama 接入本地模型。

当扫描任务完成后,给出一个 0 到 100 的安全风险值,分数越低越安全,再配一句结论总结和建议。

对于一些比较复杂的 Skill,第一次扫描,有可能会出现几条误报的信息。

此时如果我们看过、确认没问题的,可以让它记录下来,后面重扫就会自动跳过。

image-20260626190802373

如何使用 SkillSpector,项目提供了多种安装方式,包括本地安装、Docker 和 MCP。

我建议把 SkillSpector 作为 MCP,安装到任何支持 MCP 的 Agent 工具里使用。

首先通过 pip 命令,把 SkillSpector 带 MCP 支持的版本安装到本地:

pip install "skillspector[mcp]"

装好后,把它添加到 Claude Code 使用,也就一行命令的事。

claude mcp add skillspector -- skillspector mcp

如果是团队使用场景,还能将它接进 CI 流水线,把安检关卡设在合并代码那一步。

写在最后

在这大半年里,Agent Skill 生态发展的实在太快,已经有数不清的各种各样 Skill。

但安全审计这块领域基本还是空的,大部分人都没意识到所安装的 Skill 可能存在风险。

NVIDIA 开源的 SkillSpector,正好能帮我们给安装到 Skill 加入一道安检。

往后安装的 Skill 只会越装越多,安装它们之前,先用 SkillSpector 扫描一遍安心一点。

GitHub 项目地址:https://github.com/NVIDIA/SkillSpector

今天的分享到此结束,感谢大家抽空阅读,我们下期再见,Respect!