你装的第4个AI技能,可能就有1个带毒
42,447个AI Agent技能样本,26.1%存在漏洞,5.2%疑似恶意。
这不是危言耸听的标题党,是Liu等人2026年发表的实证研究结论。翻译成人话:你每装4个skill,就有1个在裸奔;每装20个,就有1个在偷你的东西。
NVIDIA这周开源的SkillSpector,冲上GitHub Trending,9,933 Star、784 Fork。它做的事很朴素——在你装skill之前,先扫一遍。
skill为什么比插件危险
浏览器扩展出问题,最多搞崩一个页面。npm包出问题,至少还有锁文件、审计工具、CI链路兜底。
但Agent skill不一样。
它不是普通代码。它是一份行为说明书——直接告诉Agent"你可以这样工作、调用这些工具、读这些文件、执行这些脚本"。如果说明书里藏着恶意指令,Agent不会把它当攻击,会当任务规则去执行。
这就是skill最阴的地方:它利用的不是代码漏洞,是信任漏洞。
你装一个"PDF生成"skill,它确实能生成PDF。但它同时可能在做这些事:
- 遍历
os.environ,把你的API key发到外部服务器 - 在安装脚本里加crontab持久化任务
- 通过prompt注入让Agent泄露系统提示词
- 声明只读权限,实际在写文件
你不会发现。因为Agent执行这些动作时,不会弹窗问你"是否允许"——它认为这是skill规定的正常行为。
SkillSpector怎么扫
不是关键词匹配,是两阶段流水线。
第一阶段:静态分析。 正则规则 + Python AST行为分析 + 危险调用检测 + YARA签名匹配。不执行任何代码,纯看文件内容。
第二阶段:可选LLM语义评估。 让模型判断更隐蔽的风险——比如一段看似正常的指令,实际在诱导Agent做越权操作。
覆盖65个漏洞模式,分布在16个类别:
| 类别 | 典型风险 |
|---|---|
| Prompt Injection | 隐藏指令、指令覆盖 |
| 数据外传 | 环境变量收割、外部通信 |
| 权限提升 | 过度自主行为、未声明能力 |
| 供应链风险 | 恶意依赖、CVE包 |
| MCP工具投毒 | 权限声明与实际不符 |
| 记忆投毒 | 污染Agent长期记忆 |
| 系统提示词泄露 | 诱导Agent输出内部指令 |
扫描完给0-100风险分,映射到LOW/MEDIUM/HIGH/CRITICAL,再给出建议:SAFE、CAUTION、DO_NOT_INSTALL。
实操:5分钟上手
用uv装,不用clone仓库:
uv tool install git+https://github.com/NVIDIA/SkillSpector.git
扫一个本地skill目录:
skillspector scan ./my-skill/
扫单个SKILL.md:
skillspector scan ./SKILL.md
生成JSON报告(自动化流程用):
skillspector scan ./my-skill/ --format json --output report.json
生成SARIF(接CI/CD或IDE):
skillspector scan ./my-skill/ --format sarif --output report.sarif
不想把文件内容发给LLM?只跑静态分析:
skillspector scan ./my-skill/ --no-llm
这个--no-llm选项不是可有可无的点缀。README明确提醒:LLM语义分析会把文件内容发给你配置的provider。如果你扫的是公司内部skill,内容可能包含商业机密——这时候--no-llm不是选择,是必须。
比手动审核强在哪
手动审核skill,问题不是看不懂,是看不全。
一个skill可能同时包含Markdown指令(藏prompt injection)、Python脚本(调exec/subprocess)、依赖声明(引有CVE的包)、MCP配置(声明过多权限)、输出处理逻辑(诱导外发)。靠人肉看一遍,上下文之间的关联很容易漏掉。
SkillSpector把这些风险拆成规则和评分,65个模式全覆盖,几秒出结果,还能进CI当门禁。
但更关键的是它承认自己的边界。
README写得很清楚:SkillSpector不执行被扫描的skill,所有分析都是静态的。它是在你安装之前标记风险,不是安装之后替你隔离风险。
这比那些暗示"用了就安全"的工具诚实得多。
NVIDIA为什么做这个
NVIDIA不只是开源一个工具。它在建一套skill治理体系。
NVIDIA Technical Blog披露,在skill进入NVIDIA Skills目录之前,必须先过SkillSpector扫描。这等于把安全检查变成了发布流程的必经环节——不是"建议你扫一下",是"不扫不让上"。
同时,NVIDIA还推出了Verified Agent Skills和Skill Cards,给通过审核的skill打认证标签。这套组合拳的意图很明显:定义Agent skill的安全标准,然后让自己成为标准的制定者。
这跟Docker Hub的镜像扫描、npm的audit、PyPI的安全检查是同一个逻辑——谁掌握了安全门禁,谁就掌握了生态的话语权。
Agent skill生态从2026年初的每天不到50个新skill,爆发到每天500+。ClawHub作为主流registry,没有系统化审核。Snyk的审计在3,984个skill中发现了1,467个恶意payload。
市场在野蛮生长,NVIDIA在修收费站。
谁该用
个人开发者:如果你用Claude Code、Codex CLI、Gemini CLI,经常装第三方skill——把skillspector scan加到你的安装流程里。5秒钟的事。
团队:维护内部skill库的,跑一遍--format markdown生成审计报告,比口头说"我看过代码了"靠谱。
平台:做skill市场或registry的,把SARIF输出接进CI,根据recommendation做门禁——SAFE放行,CAUTION人工复核,DO_NOT_INSTALL直接拦。
还有个问题
SkillSpector扫的是skill本身。但Agent的安全风险不止来自skill。
MCP server的权限边界、Agent运行时的沙箱隔离、多skill组合后的交互风险——这些都不是一个安装前扫描器能解决的。
26.1%的漏洞率说明skill生态确实需要安检。但安检只是第一道门,不是整栋楼。
Agent安全的完整图景,大概需要三层:安装前扫描(SkillSpector做的事)、运行时沙箱(限制Agent实际能做什么)、事后审计(记录Agent做了什么)。
现在只有第一层。后两层还是空白。
NVIDIA开了个头。但路还长。
GitHub: https://github.com/NVIDIA/SkillSpector
数据来源:Liu et al. 2026 实证研究(42,447样本);GitHub API(9,933 Star / 784 Fork,2026-06-24);NVIDIA Technical Blog
暂无评论。