NVIDIA 开源 SkillSpector:扫描发现 26% 的 AI Agent 技能存在安全漏洞
NVIDIA 发布开源安全扫描器 SkillSpector,对 42,447 个公开 AI Agent 技能的分析发现:26.1% 存在至少一个漏洞,5.2% 显示有恶意意图。覆盖提示注入、数据窃取、权限提升、供应链攻击等 16 类 64 种风险模式。
原创。信息来源:NVIDIA/SkillSpector GitHub、NVIDIA 文档中心、NVIDIA Developer Blog
2026年6月,NVIDIA 开源了一个名为 SkillSpector 的安全扫描工具,专门用于检测 AI Agent 技能(Skills)中的安全风险。伴随工具发布的还有一项大规模研究:对 42,447 个来自主流技能市场(Skill Marketplaces)的公开技能进行分析后,发现 26.1% 包含至少一个漏洞,5.2% 显示可能的恶意意图。
这个数字足以让任何正在使用或开发 AI Agent 的人停下来认真思考。
一、为什么 AI Agent 技能需要安全扫描?
AI Agent 技能(Skills)是赋予 AI 编码助手(如 Claude Code、OpenAI Codex CLI、Gemini CLI、Cursor 等)特定能力的脚本或指令文件。它们以 SKILL.md 或其他格式定义,可以被 agent 加载并执行——包括运行 shell 命令、访问文件系统、调用 API、读取环境变量等。
问题在于,大多数技能市场缺少审核机制。用户从 GitHub 或社区仓库下载一个"帮你管理 AWS"或"分析你的代码库"的技能,本质上是把自己开发环境的全部权限交给了这个技能背后的指令。如果这个技能包含了恶意代码或安全隐患,Agent 会忠实地执行它。
这正是 SkillSpector 要解决的问题。
—— 广告 ——
二、漏洞扫描结果:触目惊心
NVIDIA 的研究团队分析了 42,447 个技能,扫描结果:
| 指标 | 比例 |
|---|---|
| 至少包含一个漏洞 | 26.1% |
| 显示可能的恶意意图 | 5.2% |
| 覆盖的漏洞模式 | 64 种 |
| 覆盖的风险类别 | 16 类 |
这意味着,每 4 个公开的 AI Agent 技能中,就有 1 个存在安全隐患。
三、SkillSpector 的检测能力
SkillSpector 使用**静态分析(YARA 规则 + 自定义检测器)**和可选的 LLM 分析来扫描技能文件。它识别 16 类共 64 种风险模式:
提示注入(Prompt Injection)— 5 种模式
| ID | 模式 | 严重度 | 描述 |
|---|---|---|---|
| P1 | 指令覆盖(Instruction Override) | HIGH | 要求忽略安全约束的命令 |
| P2 | 隐藏指令(Hidden Instructions) | HIGH | 注释或不可见文本中的恶意指令 |
| P3 | 数据外泄命令(Exfiltration Commands) | HIGH | 指示将上下文发送到外部 |
| P4 | 行为操纵(Behavior Manipulation) | MEDIUM | 改变 Agent 决策的隐蔽指令 |
| P5 | 有害内容(Harmful Content) | CRITICAL | 可能导致物理伤害的指令 |
数据窃取(Data Exfiltration)— 4 种模式
| ID | 模式 | 严重度 | 描述 |
|---|---|---|---|
| E1 | 外部传输(External Transmission) | MEDIUM | 将数据发送到外部 URL |
| E2 | 环境变量收割(Env Variable Harvesting) | HIGH | 收集 API Key 和密钥 |
| E3 | 文件系统枚举(File System Enumeration) | MEDIUM | 扫描敏感文件 |
| E4 | 上下文泄漏(Context Leakage) | HIGH | 传输对话上下文至外部 |
权限提升(Privilege Escalation)— 3 种模式
| ID | 模式 | 严重度 |
|---|---|---|
| PE1 | 过度权限请求 | LOW |
| PE2 | Sudo/Root 执行 | MEDIUM |
| PE3 | 凭证访问(SSH Key、Token) | HIGH |
供应链安全(Supply Chain)— 6 种模式
| ID | 模式 | 严重度 |
|---|---|---|
| SC1 | 未固定依赖版本 | LOW |
| SC2 | 外部脚本远程获取(curl|bash) | HIGH |
| SC3 | 混淆代码 | HIGH |
| SC4 | 已知漏洞依赖(实时查询 OSV.dev) | HIGH |
| SC5 | 废弃依赖 | MEDIUM |
| SC6 | 域名抢注(Typosquatting) | HIGH |
过度授权(Excessive Agency)— 4 种模式
| ID | 模式 | 严重度 |
|---|---|---|
| EA1 | 无限制的工具访问 | HIGH |
| EA2 | 自主决策 | HIGH |
| EA3 | 范围蔓延(Scope Creep) | MEDIUM |
| EA4 | 无限制的资源访问 | MEDIUM |
输出处理(Output Handling)— 3 种模式
| ID | 模式 | 严重度 |
|---|---|---|
| OH1 | 未经验证的输出注入 | HIGH |
| OH2 | 跨上下文输出 | MEDIUM |
| OH3 | 无界输出 | MEDIUM |
四、安装与使用
快速安装
git clone https://github.com/NVIDIA/skillspector.git
cd skillspector
uv venv .venv && source .venv/bin/activate
make installDocker 使用(不需要安装 Python)
make docker-build
docker run --rm -v "$PWD:/scan" skillspector scan ./my-skill/ --no-llm扫描一个技能
skillspector scan ./my-skill/ # 扫描目录
skillspector scan ./SKILL.md # 扫描单个文件
skillspector scan https://github.com/user/my-skill # 扫描远程仓库
skillspector scan ./my-skill.zip # 扫描 ZIP 包输出格式
skillspector scan ./my-skill/ # 终端输出(默认)
skillspector scan ./my-skill/ --format json --output report.json # JSON
skillspector scan ./my-skill/ --format markdown --output report.md # Markdown
skillspector scan ./my-skill/ --format sarif --output report.sarif # SARIF(CI/CD 集成)LLM 增强分析(可选,将准确率提升至 ~87%)
export SKILLSPECTOR_PROVIDER=anthropic
export ANTHROPIC_API_KEY=sk-ant-...
skillspector scan ./my-skill/支持的 LLM 提供商:OpenAI(gpt-5.4)、Anthropic(claude-opus-4-6)、NVIDIA Build(deepseek-v4-flash)。
五、NVIDIA Verified Skills:能力治理的新方向
伴随 SkillSpector,NVIDIA 还发布了 NVIDIA-Verified Skills 计划,提供经过安全验证的技能库。Verified Skills 引入了四个维度的安全保障:
- 透明性(Transparency) — 公开技能的完整行为清单
- 来源可溯(Provenance) — 可验证的技能来源和作者
- 安全验证(Security Validation) — 通过 SkillSpector 扫描
- 真实性检查(Authenticity) — 防止篡改的数字签名
这标志着 AI Agent 生态正从"野蛮生长"走向"治理阶段"。正如 NVIDIA 在博客中所言:"当 Agent 技能从可选插件变成核心能力时,安全就不再是可选项了。"
六、对开发者的启示
SkillSpector 的发布传达了一个清晰信号:AI Agent 技能生态正在进入治理和安全成长期。 对于独立开发者和团队来说,这里有几个值得注意的趋势:
- 技能市场的审核将成标配 — 正如 App Store 改变了移动应用的安装方式,技能市场也将从"自由下载"走向"审核上架"
- CI/CD 中集成技能扫描 — 就像 npm audit、pip audit 一样,技能安全扫描会成为开发流程中的标准环节
- 安全意识从 Agent 框架延伸到技能层 — 不仅仅是 Agent 框架本身要安全,技能作为 Agent 的"可执行指令"也需要独立的安全保障
结语
NVIDIA SkillSpector 用数据证明了一件事:AI Agent 的普及速度已经超出了生态安全能力的建设速度。26% 的技能存在漏洞,这个数字提醒我们——在让 AI Agent 获得更多权限之前,先要确保赋予它的那些技能是安全的。
对于正在构建 AI Agent 的开发者:不要等到出了安全事故才开始考虑技能安全。SkillSpector 现在是开源的,集成到你的工作流中只需要几分钟。
© 2026 四月 · CC BY-NC-SA 4.0
原文链接:https://www.aprilzz.com/ai/nvidia-skillspector
相关文章
NVIDIA 开源物理 AI Agent 工具集:机器人、自动驾驶、工业数字孪生的新范式
NVIDIA 在 GTC Taipei 2026 上宣布开源其物理 AI Agent 工具和技能库,覆盖 Omniverse、Cosmos、Isaac、Metropolis 全线产品,让 AI Agent 可以直接操作机器人、自动驾驶和工业数字孪生系统,已有多个企业实战案例验证。
0.01 欧元转账就能攻破银行 AI 助手 — Bunq 金融 AI 安全深度解析
安全公司 Blue41 揭示了一个令人震惊的事实:攻击者只需向目标账户转账 0.01 欧元,就能通过交易描述中的恶意指令操控银行 AI 助手,向用户发送高度可信的钓鱼信息。
Forge:用 Guardrails 把小模型变成可靠的 Agent,8B 模型能力从 53% 提升到 99%
Forge 是一个 Python 框架,通过 Guardrails 机制让小型开源模型在 Agent 任务上的表现从 53% 提升到 99%,实现了自托管 Agent 工作流的低成本部署。