给 AI Agent 装一个 skill,有点像给电脑装一个插件:它不只是多了一段说明书,还可能多了一组会被 Agent 信任并执行的流程。问题在于,这些 skill 一旦能分享、安装、复用,就会像软件包一样带来供应链风险。NVIDIA 的 SkillSpector 要解决的就是这个入口问题:在安装前先扫一遍,看看里面有没有恶意指令、越权行为或其他安全隐患。
按项目说明,SkillSpector 可以扫描 Git 仓库、URL、zip、目录或单个文件,覆盖 17 类共 68 种风险模式,包括 prompt injection(诱导模型违背原本指令)、data exfiltration(把数据偷偷带出去)、privilege escalation(越权)、system prompt leakage(泄露系统提示词)等。它采用两阶段分析:先做较快的静态扫描,再可选用 LLM 做语义判断;输出也能给终端、JSON、Markdown 或 SARIF 报告,方便接进开发流程。
值得注意的是,项目页称研究显示 26.1% 的 skills 含漏洞,5.2% 显示可能的恶意意图;这些数字来自项目自述,供稿未给出独立核查细节。即便如此,方向本身很清楚:当 Agent skill 变成可分发资产,安全检查也要从“信任作者”转向“安装前先验货”。