AI Sparkup

최신 AI 쉽게 깊게 따라잡기⚡

SkillSpector – AI 에이전트 스킬 취약점 보안 스캐너

SkillSpector는 NVIDIA가 공개한 AI 에이전트 스킬 보안 스캐너다. Claude Skills, Codex Skills, MCP 도구처럼 에이전트에게 새 능력을 부여하는 파일·스크립트 묶음을 대상으로, 악성 패턴과 취약한 권한 설계를 찾는다.

탐지 범위

SkillSpector는 17개 범주, 68개 취약점 패턴을 제공한다. 프롬프트 인젝션, 데이터 유출, 권한 상승, 공급망 위험, 과도한 자율성, 시스템 프롬프트 유출, 메모리 포이즈닝, MCP 최소 권한 위반, MCP tool poisoning 등을 포함한다.

기능설명
정적 분석빠른 규칙 기반 탐지
LLM 의미 분석선택적으로 모델을 사용해 문맥 위험 평가
CVE 조회OSV.dev 기반 실시간 취약점 확인
출력 형식터미널, JSON, Markdown, SARIF
기준선 관리알려진 false positive를 baseline으로 억제

사용 예

uv tool install git+https://github.com/NVIDIA/skillspector.git
skillspector scan ./my-skill/ --no-llm

LLM 평가를 켜면 단순 패턴으로 잡기 어려운 권한 조합과 지시문 위험을 더 잘 볼 수 있다. CI에서는 우선 --no-llm 정적 스캔과 SARIF 출력을 붙이고, 릴리스 전 수동 리뷰에서 LLM 분석을 추가하는 구성이 현실적이다.

관련 문서

참고 자료



AI Sparkup 구독하기

최신 게시물 요약과 더 심층적인 정보를 이메일로 받아 보세요! (무료)