N
NVIDIA/SkillSpector
Security scanner for AI agent skills. Detect vulnerabilities, malicious patterns, and security risks.
PythonApache-2.0创建于 2026/3/21更新于 今天
README
由 Gemini 翻译整理
SkillSpector
AI Agent 技能安全扫描器。 在安装 Agent 技能之前,检测其中的漏洞、恶意模式及安全风险。
概述
AI Agent 技能(被 Claude Code、Codex CLI、Gemini CLI 等使用)在执行时通常拥有隐式信任,且缺乏足够的审查。研究表明,26.1% 的技能包含漏洞,5.2% 显示出明显的恶意意图。
SkillSpector 可以帮你回答这个问题:“这个技能安装起来安全吗?”
文档
- 开发指南 — 架构、包结构以及如何扩展分析器流水线。
- OSS_RELEASE.md — 如何从本仓库生成一个开源发布分支。
功能特性
- 多格式输入:支持扫描 Git 仓库、URL、zip 文件、目录或单个文件。
- 64 种漏洞模式,涵盖 16 个类别:提示词注入 (Prompt Injection)、数据外泄、权限提升、供应链攻击、过度授权、输出处理、系统提示词泄露、内存污染、工具滥用、恶意 Agent、触发器滥用、危险代码 (AST)、污点分析 (Taint Tracking)、YARA 签名、MCP 最小权限原则及 MCP 工具污染。
- 两阶段分析:快速静态分析 + 可选的 LLM 语义评估。
- 实时漏洞查询:SC4 会查询 OSV.dev 以获取实时 CVE 数据,并具备自动离线回退功能。
- 多种输出格式:终端、JSON、Markdown 和 SARIF 报告。
- 风险评分:提供 0-100 分的风险评分,包含严重程度标签和明确的改进建议。
快速入门
安装
首先创建并激活虚拟环境(所有 make 目标均假定虚拟环境已激活)。请使用 uv 或 pip;Makefile 会优先使用 uv(如果可用),否则使用 pip。
# 克隆仓库
git clone https://github.com/NVIDIA/skillspector.git
cd skillspector
# 创建并激活虚拟环境
uv venv .venv && source .venv/bin/activate
# 或者: python3 -m venv .venv && source .venv/bin/activate
# 生产环境安装
make install
# 或者安装开发依赖
make install-dev
基本用法
# 扫描本地技能目录
skillspector scan ./my-skill/
# 扫描单个 SKILL.md 文件
skillspector scan ./SKILL.md
# 扫描 Git 仓库
skillspector scan https://github.com/user/my-skill
# 扫描 zip 文件
skillspector scan ./my-skill.zip
输出格式
# 终端输出(默认) - 美化格式
skillspector scan ./my-skill/
# JSON 输出 - 机器可读
skillspector scan ./my-skill/ --format json --output report.json
# Markdown 输出 - 用于文档记录
skillspector scan ./my-skill/ --format markdown --output report.md
# SARIF 输出 - 用于 CI/CD 集成和 IDE 工具
skillspector scan ./my-skill/ --format sarif --output report.sarif
LLM 分析
为获得最佳效果,建议配置 OpenAI 兼容的 LLM 端点进行语义分析。使用 SKILLSPECTOR_PROVIDER 指定提供商;每个提供商都内置了默认模型。SkillSpector 也适用于本地 OpenAI 兼容服务器(Ollama、vLLM、llama.cpp)及托管推理网关。
提供商 (SKILLSPECTOR_PROVIDER) | 凭据环境变量 | 端点 | 默认模型 |
|---|---|---|---|
openai | OPENAI_API_KEY (+ 可选 OPENAI_BASE_URL) | api.openai.com (或任何兼容 OpenAI 的 URL) | gpt-5.4 |
anthropic | ANTHROPIC_API_KEY | api.anthropic.com | claude-opus-4-6 |
nv_build | NVIDIA_INFERENCE_KEY | build.nvidia.com | deepseek-ai/deepseek-v4-flash |
# 标准 OpenAI
export SKILLSPECTOR_PROVIDER=openai
export OPENAI_API_KEY=sk-...
skillspector scan ./my-skill/
# Anthropic
export SKILLSPECTOR_PROVIDER=anthropic
export ANTHROPIC_API_KEY=sk-ant-...
skillspector scan ./my-skill/
# NVIDIA build.nvidia.com
export SKILLSPECTOR_PROVIDER=nv_build
export NVIDIA_INFERENCE_KEY=nvapi-...
skillspector scan ./my-skill/
# 本地 Ollama 或任何兼容 OpenAI 的端点
export SKILLSPECTOR_PROVIDER=openai
export OPENAI_API_KEY=ollama
export OPENAI_BASE_URL=http://localhost:11434/v1
export SKILLSPECTOR_MODEL=llama3.1:8b
skillspector scan ./my-skill/
# 覆盖提供商的默认模型
export SKILLSPECTOR_MODEL=gpt-5.2
skillspector scan ./my-skill/
# 跳过 LLM 分析(更快,仅进行静态分析)
skillspector scan ./my-skill/ --no-llm
漏洞模式
SkillSpector 可检测 64 种漏洞模式,涵盖 16 个类别:
提示词注入 (5 种模式)
| ID | 模式 | 严重程度 | 描述 |
|---|---|---|---|
| P1 | Instruction Override | 高 | 忽略安全约束的命令 |
| P2 | Hidden Instructions | 高 | 隐藏在注释或不可见文本中的恶意指令 |
| P3 | Exfiltration Commands | 高 | 传输上下文外部数据的指令 |