SkillSpector,由 NVIDIA 倾力打造并开源,是一款专为 AI Agent 技能设计的安全审查利器。它能在您部署 Claude Code、Codex CLI、Gemini CLI 等平台上的各类技能之前,自动进行严密的漏洞、恶意行为模式及潜在安全风险的检测,为您的 AI Agent 应用保驾护航。
SkillSpector 究竟是什么?
SkillSpector 是一款 NVIDIA 开源的 AI Agent 技能安全扫描工具。其核心价值在于,在用户安装 Claude Code、Codex CLI、Gemini CLI 等主流 AI 平台提供的技能之前,能够自动识别潜藏的漏洞、恶意代码模式以及各类安全隐患。该工具支持多种输入方式,包括但不限于 Git 仓库、网络 URL、压缩文件、本地目录以及单个文件。SkillSpector 内置了涵盖 16 个安全类别、总计 64 种不同的漏洞检测模式。它采用一个两阶段的分析流程:首先进行快速的静态扫描,随后可选地进行基于大型语言模型(LLM)的语义评估。最终,它能够生成多种格式的报告,如终端输出、JSON、Markdown 和 SARIF,并附带一个 0 到 100 分的风险评分以及具体的修复建议。
SkillSpector 的核心能力一览
- 全方位输入格式支持:无论是 Git 仓库、网络链接、压缩包、文件夹还是文件,SkillSpector 都能轻松应对,提供灵活的扫描入口。
- 海量漏洞模式库:覆盖 16 大安全领域,精通 64 种漏洞检测模式,包括但不限于提示注入、数据泄露、权限越权、供应链攻击、过度代理、输出篡改、系统提示暴露、记忆体污染、工具滥用、流氓 Agent、触发器滥用、危险代码语法树(AST)分析、污点追踪、YARA 规则匹配、最小权限原则(MCP)及 MCP 工具投毒等。
- 双重分析机制:利用高效的静态分析快速预警,并可选择性地引入 LLM 进行深度语义理解,显著提升检测的精准度。
- 实时漏洞情报对接:直接与 OSV.dev API 联动,实时查询已知漏洞(CVE),并具备在离线环境下自动回退的能力,确保扫描的连续性。
- 多样化报告输出:支持终端交互式查看、JSON 结构化数据、Markdown 便捷阅读以及 SARIF 标准化报告,满足不同场景下的报告需求。
- 量化风险评估体系:提供 0-100 的风险评分,并辅以明确的严重等级标签和可操作的修复指南。
SkillSpector 的技术基石
- 第一阶段:闪电般的静态分析:该阶段运用正则表达式和抽象语法树(AST)技术,迅速识别代码中的危险函数调用(如 exec、eval、subprocess 等)。同时,通过 OSV.dev API 实时获取依赖项的已知漏洞信息。这种方法覆盖所有文件,具备高召回率,但精确度相对中等。
- 第二阶段:智能 LLM 语义评估(可选):此阶段利用 OpenAI、Anthropic 或 NVIDIA 等兼容的 LLM 端点,深入分析代码的上下文和开发者意图。这有助于过滤掉静态扫描中的误报,并提供易于理解的解释。此阶段可将精确率提升至约 87%。值得一提的是,LLM 的提示语中内置了反越狱保护机制,以防止恶意技能试图操纵分析过程。
- 风险评分的计算逻辑:CRITICAL 级别的风险加 50 分,HIGH 加 25 分,MEDIUM 加 10 分,LOW 加 5 分。如果检测到可执行脚本,还会额外乘以 1.3 的系数。最终的评分被划分为四个等级:0-20(LOW/SAFE)、21-50(MEDIUM/CAUTION)、51-80(HIGH/DO NOT INSTALL)、81-100(CRITICAL/DO NOT INSTALL)。
如何驾驭 SkillSpector
- 环境准备就绪:首先,克隆 SkillSpector 的 GitHub 仓库,并创建一个激活的 Python 虚拟环境。您可以使用 uv 或 pip 来完成此步骤。
- 安装部署流程:执行
make install命令即可安装生产环境所需依赖;若需要开发环境,则使用make install-dev。 - 启动扫描任务:使用
skillspector scan命令,并在其后指定您要扫描的目标路径。 - 配置 LLM(可选):如果您希望启用语义分析功能,请设置
SKILLSPECTOR_PROVIDER环境变量,选择 OpenAI、Anthropic 或 NVIDIA 作为提供商,并配置相应的 API 密钥。 - 查阅扫描报告:通过
--format参数指定您偏好的输出格式(终端、JSON、Markdown 或 SARIF);使用--output参数来指定报告的保存位置。
SkillSpector 的独特优势
- Agent 场景的深度优化:SkillSpector 专注于 AI Agent 技能的安全检测,其检测规则针对 Claude Code、Codex CLI、Gemini CLI 等平台进行了深度定制和优化。
- 效率与精度的完美平衡:通过快速静态扫描奠定效率基础,再借助 LLM 语义分析将整体精确率提升至约 87%,实现了速度与准确性的协同。
- 全生命周期的风险覆盖:内置的 64 个漏洞模式,覆盖 16 个安全类别,能够从提示注入到供应链攻击,实现端到端的安全防护。
- 即时漏洞信息查询:直接接入 OSV.dev 数据库,实时检索已知 CVE 信息,无需额外的 API 密钥。离线回退机制也保证了在隔离网络环境下的可用性。
- 与 CI/CD 工作流的无缝集成:支持 SARIF 标准格式输出,能够轻松接入 GitHub Code Scanning 及各类企业级持续集成流水线。
- 广泛的输入兼容性:无论是 Git 仓库、网络链接、压缩文件、目录还是单个文件,SkillSpector 都能进行扫描,极大地降低了用户的使用门槛。
SkillSpector 的项目地址
- GitHub 仓库:https://github.com/NVIDIA/skillspector
SkillSpector 与同类竞品深度对比
| 对比维度 | SkillSpector | Cisco Skill Scanner |
|---|---|---|
| 开发者 | NVIDIA | Cisco |
| 开源协议 | Apache 2.0(完全开源) | 未公开(商业产品) |
| 检测引擎 | 两阶段管道:快速静态分析 + 可选 LLM 语义评估 | 四引擎分层:静态分析 + 行为数据流分析 + LLM 语义分析 + 云威胁扫描 |
| 覆盖平台 | Claude Code、Codex CLI、Gemini CLI | OpenAI Codex、Cursor |
| 漏洞模式 | 64 个漏洞模式,跨越 16 个安全类别 | 未公开具体数量,强调多引擎分层覆盖 |
| 风险评分 | 0-100 量化评分,四级严重度(LOW/MEDIUM/HIGH/CRITICAL) | 严重等级标签,结合云威胁情报上下文 |
| 实时漏洞库 | 对接 OSV.dev 实时查询已知 CVE,无需 API 密钥,支持自动离线回退 | 集成 Cisco 云威胁情报,依赖云端查询 |
| 输出格式 | Terminal、JSON、Markdown、SARIF | SARIF、JSON |
| CI/CD 集成 | 原生支持 SARIF,可接入 GitHub Code Scanning 及通用流水线 | 官方提供 GitHub Actions 集成,深度适配 DevSecOps 工作流 |
| 分析深度 | 静态 AST 分析 + LLM 语释(精确率约 87%) | 行为数据流追踪 + 执行路径模拟 + 云端关联分析 |
| 部署方式 | 本地 CLI 工具,支持离线静态扫描 | 云端混合架构,部分能力依赖云扫描引擎 |
SkillSpector 的应用场景
- 开发者本地安装前审查:在将第三方 AI 技能引入本地开发环境前,进行快速安全扫描,依据风险评分决定是否安装。
- 企业 CI/CD 流水线安全门禁:将 SkillSpector 集成到持续集成流程中,自动拦截存在高风险的技能提交,实现安全左移。
- 技能市场平台的审核机制:AI 技能商店或 MCP 市场可在技能上线前进行自动化安全审查,并向用户展示信任评分。
- 开发者自我安全审计:技能开发者在发布作品前,主动进行扫描,识别并修复潜在漏洞,提升其作品的可信度。
- 安全研究批量分析工具:安全研究人员可利用 SkillSpector 对海量技能数据集进行批量扫描,分析漏洞分布、恶意模式趋势以及整个生态的安全基线。
