Agent之SkillSkillSpector的简介、安装和使用方法、案例应用之详细攻略目录SkillSpector的简介1、特点SkillSpector的安装和使用方法1、安装1基础安装2Docker 安装2、使用方法1最基本的使用方式2输出格式的选择3LLM 分析的配置4命令行参数与环境变量SkillSpector的案例应用审查可疑 skill 包中的恶意行为供应链风险审计检查 skill 里的危险代码和自动化行为把扫描结果接入研发流程离线或受限环境下的本地审查SkillSpector的简介SkillSpector 是一个面向 AI agent skills 的安全扫描器目标是在你安装某个 skill 之前先判断它是否安全能否识别其中的漏洞、恶意模式和其他安全风险。仓库首页直接把它定义为 “Security scanner for AI agent skills”并明确指出它是为 Claude Code、Codex CLI、Gemini CLI 等 AI agent skills 的安全检查而设计的。仓库的动机很明确AI agent skills 往往带着“隐式信任”运行人工审核又通常很少但研究显示技能中有相当一部分存在漏洞另有一部分表现出可疑或恶意倾向。因此SkillSpector 的核心问题就是帮助用户回答一句很现实的话“这个 skill 安全吗能装吗”。从项目定位看它不是一个单纯的规则检查器而是一个结合静态分析与可选 LLM 语义分析的安全审计工具同时它还会查询实时漏洞信息并输出可读报告方便人类和 CI/CD 流程共同使用。Github地址GitHub - NVIDIA/SkillSpector: Security scanner for AI agent skills. Detect vulnerabilities, malicious patterns, and security risks. · GitHub1、特点特点核心说明输入形式支持多种输入源Git 仓库、URL、zip 文件、本地目录或单个文件。既可检查本地技能包也可直接扫描远程仓库链接。漏洞检测模式内置 64 种漏洞模式分布于 16 个类别。涵盖 prompt injection、data exfiltration、privilege escalation、supply chain、excessive agency、output handling、system prompt leakage、memory poisoning、tool misuse、rogue agent、trigger abuse、dangerous codeAST、taint tracking、YARA signatures、MCP least privilege、MCP tool poisoning 等。两阶段分析• 第一阶段快速静态分析正则匹配、AST 行为分析、依赖漏洞查询。• 第二阶段可选 LLM 语义分析结合上下文减少误报输出可读解释并内置 anti-jailbreak 防护防止恶意 skill 反向操纵分析器。实时漏洞查询对依赖项进行 OSV.dev 查询获取已知 CVE 和安全通告。无需 API key支持批量查询并缓存结果离线或网络不可用时自动回退至 本地 fallback 列表。输出格式支持 四种报告格式• Terminal适合人工快速阅读• JSON适合程序处理• Markdown适合编写文档• SARIF适合接入 CI/CD 和 IDE 工具链风险评分机制明确的风险评分规则• 基础分CRITICAL 50、HIGH 25、MEDIUM 10、LOW 5• 加权执行脚本再 × 1.3• 最终映射LOW / MEDIUM / HIGH / CRITICAL 四等级并输出 “SAFE / CAUTION / DO NOT INSTALL” 类建议。高风险检测实例重点识别包括 prompt injection、data exfiltration、supply chain、excessive agency、system prompt leakage、rogue agent、trigger abuse、dangerous code、taint tracking、MCP tool poisoning 等风险。具体检测项例如exec()、eval()、subprocess、os.system、动态 import、可疑 shell 命令、隐藏指令、凭据外传、Unicode 伪装、参数注入等。SkillSpector的安装和使用方法1、安装1基础安装仓库建议先创建并激活虚拟环境因为它的 make 目标默认都假设 venv 已启用。官方示例给出的安装流程是先克隆仓库再创建 .venv然后执行 make install如果需要开发依赖则执行 make install-dev。仓库还说明make 会优先使用 uv如果没有则回退到 pip。2Docker 安装如果不想本机安装 PythonSkillSpector 也可以通过 Docker 运行。仓库说明它提供了 Dockerfile镜像基于 Docker Official Python 3.12-slim-bookworm你可以先 make docker-build 或直接 docker build -t skillspector .。容器运行时只要把当前目录挂载到 /scan就能扫描本地技能目录例如可以执行 skillspector scan ./my-skill/ --no-llm 做纯静态扫描。如果需要启用 LLM 语义分析也可以通过 .env 文件或环境变量传入模型提供方和 API key。2、使用方法1最基本的使用方式仓库给出的基础命令非常简单就是一个 scan 子命令你可以扫描本地目录、单个 SKILL.md 文件、Git 仓库链接或者 zip 包。官方示例分别写成skillspector scan ./my-skill/、skillspector scan ./SKILL.md、skillspector scan https://github.com/user/my-skill、skillspector scan ./my-skill.zip。2输出格式的选择如果你只想在终端查看默认就是漂亮的 Terminal 输出如果要给程序处理就用 --format json --output report.json如果要生成文档用 --format markdown --output report.md如果要接 CI/CD 或 IDE 安全管道则用 --format sarif --output report.sarif。3LLM 分析的配置SkillSpector 支持多种 LLM 提供方。仓库列出的 provider 包括 openai、anthropic 和 nv_build并给出各自的凭据环境变量和默认模型OpenAI 默认 gpt-5.4Anthropic 默认 claude-opus-4-6NVIDIA build.nvidia.com 默认 deepseek-ai/deepseek-v4-flash。此外它也支持本地 OpenAI-compatible 服务比如 Ollama、vLLM、llama.cpp。如果你不想做语义分析可以直接加 --no-llm这会让工具只做静态分析速度更快。官方文档明确把这称为“Skip LLM analysis (faster, static analysis only)”。4命令行参数与环境变量仓库列出了 skillspector scan --help 下的主要选项包括--format、--output、--no-llm、--verbose。环境变量方面SKILLSPECTOR_PROVIDER 用来选择模型提供方NVIDIA_INFERENCE_KEY、OPENAI_API_KEY、OPENAI_BASE_URL、ANTHROPIC_API_KEY、SKILLSPECTOR_MODEL、SKILLSPECTOR_MODEL_REGISTRY、SKILLSPECTOR_LOG_LEVEL 都有明确说明。SkillSpector的案例应用从仓库内容看SkillSpector 最直接的应用场景就是在安装 AI agent skills 之前做安全审查。这和它的主张完全一致即先回答“Is this skill safe to install?”再决定要不要把这个 skill 放进你的 agent 生态里。审查可疑 skill 包中的恶意行为仓库给出的示例输出里一个名为 suspicious-skill 的样例被判定为 78/100等级 HIGH并给出 “DO NOT INSTALL” 的建议其中检测到了 Env Variable Harvesting (E2) 和 External Transmission (E1)还解释了代码如何收集环境变量并把数据发往外部服务器。这个示例非常适合作为“恶意外传凭据/环境变量”的典型案例。供应链风险审计仓库明确把 SC4 Known Vulnerable Dependencies 列为一个检测项并通过 OSV.dev 做实时查询这意味着它可以在安装 skill 之前检查依赖是否带有已知 CVE。对依赖安全敏感的团队这类场景尤其重要。检查 skill 里的危险代码和自动化行为仓库列出的 AST 风险包括 exec()、eval()、subprocess、os.system、动态 import、动态 getattr以及“危险执行链”同时它也会识别 “self-modification”“session persistence”“overly broad trigger” 这类 rogue agent 与 trigger abuse 风险。换句话说它很适合用来发现“这个 skill 会不会悄悄改自己、常驻后台、或者被宽泛触发”的问题。把扫描结果接入研发流程因为它支持 SARIF、JSON 和 Markdown所以可以把结果接到 CI/CD、代码审查、文档系统或安全平台里。尤其是 SARIF仓库已经明确写出其用途是 CI/CD integration and IDE tooling。离线或受限环境下的本地审查仓库说明当外网不可用时OSV.dev 检查会自动回退到本地 fallback 列表而且静态分析本身不依赖外部网络因此它适合在 air-gapped、内网或安全要求较高的环境里运行。