NVIDIA SkillSpector: сканер безопасности для навыков ИИ-агентов
NVIDIA выпустила SkillSpector — открытый сканер безопасности для навыков ИИ-агентов. Обнаруживает 64 паттерна уязвимостей в 16 категориях до установки скилла.
Каждый четвёртый навык ИИ-агента небезопасен
Исследования показывают: 26,1% навыков (skills) для ИИ-агентов содержат уязвимости, а 5,2% демонстрируют признаки явно вредоносного умысла. На фоне этой статистики NVIDIA выпустила в открытый доступ SkillSpector — специализированный сканер безопасности, который проверяет навыки ИИ-агентов ещё до их установки. SkillSpector — это не универсальный сканер кода, а инструмент, созданный специально для навыков агентов.
Что такое навыки агентов и зачем их проверять
ИИ-агенты всё активнее используют модульные расширения — так называемые agent skills (навыки агентов). Навык представляет собой пакет с файлом SKILL.md, содержащим метаданные и инструкции, а также скриптами и вспомогательными ресурсами.
Навыки используются в Claude Code, Codex CLI, Gemini CLI и других инструментах — и выполняются с неявным доверием при минимальной проверке.
Навыки агентов — это не npm-пакеты. По своей природе они ближе к shell-скриптам с повышенными привилегиями. Когда вредоносный навык загружается в Claude Code, Cursor или Codex, он выполняется с полными правами агента: читает кодовую базу, получает доступ к переменным окружения, совершает API-вызовы.
Как работает SkillSpector
SkillSpector поддерживает множество форматов входных данных: Git-репозитории, URL, ZIP-архивы, директории или отдельные файлы. Инструмент обнаруживает 64 паттерна уязвимостей в 16 категориях и использует двухэтапный анализ: быстрый статический разбор с опциональной семантической оценкой через LLM.
SkillSpector сочетает статические проверки с AI-семантическим анализом, выявляя риски, которые пропускают традиционные сканеры: скрытые инструкции, опасные пути в коде, избыточные полномочия, проблемы зависимостей и несоответствия между заявленным назначением навыка и его реальным поведением.
graph TD
A[Навык для проверки\nGit / ZIP / URL / Dir] --> B[Статический анализ\n64 паттерна, 16 категорий]
B --> C{Опциональный\nLLM-анализ}
C -->|Включён| D[Семантическая оценка\nIntent vs. поведение]
C -->|Отключён --no-llm| E[Только статика]
D --> F[Risk Score 0–100\nSeverity + Рекомендации]
E --> F
F --> G[Отчёт: Terminal / JSON\nMarkdown / SARIF]
16 категорий уязвимостей
| Категория | Примеры паттернов | Макс. severity |
|---|---|---|
| Prompt Injection | Скрытые инструкции, манипуляция поведением | CRITICAL |
| Data Exfiltration | Сбор API-ключей, утечка контекста | HIGH |
| Privilege Escalation | Запуск sudo/root, чтение SSH-ключей | HIGH |
| Supply Chain | Unpinned deps, curl | bash, тайпосквоттинг | HIGH |
| Excessive Agency | Автономные решения без human-in-the-loop | HIGH |
| Rogue Agent | Самомодификация кода, скрытое закрепление | CRITICAL |
| MCP Tool Poisoning | Атаки на Model Context Protocol | HIGH |
| Behavioral AST | exec(), eval(), динамические импорты | CRITICAL |
Поддерживаемые LLM-провайдеры
Для семантического анализа можно настроить любой OpenAI-совместимый эндпоинт. Провайдер задаётся через SKILLSPECTOR_PROVIDER. SkillSpector также работает с локальными серверами Ollama, vLLM, llama.cpp и управляемыми inference-шлюзами.
# Быстрый старт
git clone https://github.com/NVIDIA/skillspector.git && cd skillspector
uv venv .venv && source .venv/bin/activate
make install
# Сканирование директории
skillspector scan ./my-skill/
# С LLM-анализом через OpenAI
export SKILLSPECTOR_PROVIDER=openai
export OPENAI_API_KEY=sk-...
skillspector scan ./my-skill/
# SARIF-отчёт для CI/CD
skillspector scan ./my-skill/ --format sarif --output report.sarif
# Только статический анализ (быстро)
skillspector scan ./my-skill/ --no-llm
Часть более широкой экосистемы безопасности
Верифицированные навыки NVIDIA проходят полный цикл публикации: ежедневные обновления каталога, автоматическая и ручная проверка, сканирование через SkillSpector, криптографическая подпись и документирование через machine-readable skill cards.
Охват сканирования SkillSpector основан на признанных стандартах AI-безопасности, включая OWASP-рекомендации для LLM, риски агентного ИИ и MITRE ATLAS.
NVIDIA публично экспериментирует с криптографической подписью навыков агентов как частью более широкой дорожной карты верификации для корпоративного развёртывания.
Навык может выглядеть абсолютно безвредным при пофайловом анализе и при этом направлять агента к небезопасному поведению — запрашивать более широкий доступ, чем требует его задача, или описывать одно, тогда как вложенные артефакты реализуют совсем другое.
SkillSpector полностью открыт и доступен на GitHub. Его можно применять к любым навыкам — как созданным внутри компании, так и полученным от сторонних поставщиков. Проект распространяется под лицензией Apache 2.0.
Почему это важно прямо сейчас
Только 11% предприятий располагают инструментами, специально созданными для защиты AI-систем, тогда как агентный ИИ стремительно уходит в продакшн. SkillSpector — первый специализированный открытый инструмент, закрывающий этот пробел именно на уровне навыков агентов.
Проблема масштабирования ИИ-агентов нередко упирается в доверие: организации быстро запускают пилоты, но промышленное развёртывание тормозит, потому что команды безопасности не могут принять профиль рисков. Verified Agent Skills предлагает структурированный ответ на эти опасения.