NVIDIA/SkillSpector 是 NVIDIA 在 2026 年 3 月开源的 AI Agent 安全审计工具,4 个月累计 12,600+ stars。它解决的是一个越来越紧迫的问题–当下 AI Agent 系统以 SKILL.md、prompt 模板、工具描述、MCP 配置为核心,这些「上下文资产」本身可能携带漏洞,被恶意构造后可以直接劫持 Agent、窃取数据、执行危险操作。SkillSpector 针对这些 Agent 上下文资产,提供 68 个漏洞模式覆盖,涵盖 prompt injection、数据外泄、权限提升、供应链投毒、MCP tool poisoning 等 17 大类威胁。

它跟传统 SAST(代码安全扫描)有根本差异–传统 SAST 扫源码中的漏洞,SkillSpector 扫 Agent 的「上下文层」,也就是「Agent 怎么被 prompt 驱动、用什么工具、接什么数据、有哪些 MCP 服务」。这些上下文层是 LLM 应用独有的攻击面,代码扫描器覆盖不到。它对 LLM 上下文做两阶段分析:先用静态规则快扫(零 LLM 调用、零成本),再用可选的 LLM 做语义评估(支持 Claude、GPT-4、NVIDIA NIM、本地 Ollama 等多供应商),把传统安全审计引入到 AI 时代。

NVIDIA 官方开源、Apache-2.0 许可证、Python 实现、多输出格式(JSON / SARIF / Markdown / Terminal),可以一键集成到 CI/CD。对所有跑 Agent 的团队来说,这是 Agent 时代必备的基础设施。

一、项目简介

SkillSpector 由 NVIDIA 开源并持续维护,定位是「AI Agent 技能(SKILL)安全扫描器」。

几个核心数据:

  • GitHub stars:12,626,过去 30 天新增约 11,100 stars
  • 立项时间:2026 年 3 月 21 日,4 个月做到 12K stars
  • 许可证:Apache-2.0
  • 语言:Python 100%
  • 安装方式:uv tool / pip / Docker / 源码四种
  • 维护方:NVIDIA

它针对的攻击面非常新–传统应用的安全扫描(SAST、DAST、SCA)盯的是代码,而 AI Agent 的安全风险更多在「上下文层」。一个 prompt 模板里藏了一段反斜线指令、一个 SKILL.md 描述被诱导访问敏感文件、一个 MCP 配置被偷偷指向了恶意 tool,这些攻击都不在传统扫描器覆盖范围里。SkillSpector 把这些场景系统化归类,做到可批量扫描、可报告、可集成到 CI/CD。

仔细想过这件事会发现,SkillSpector 代表的是一种全新的安全岗位–Agent 时代的安全工程师不再只盯代码跟依赖,还得耳听 Agent 上下文。这种岗位转变的难度被 SkillSpector 这种开箱即用的工具抹平了,这是该赛道的另一个隐含价值。

SKILL/MCP 这种上下文资产所在的「安全盲区」被 SkillSpector 填补后,Agent 时代的安全合规、供应链审计、企业事软件交付质量都将获得合手心用。

二、核心功能

2.1 68 个漏洞模式 / 17 大类

覆盖的攻击面包括:

  • Prompt injection(提示词注入)
  • Data exfiltration(数据外泄)
  • Privilege escalation(权限提升)
  • Supply chain(供应链攻击)
  • Excessive agency(过度授权)
  • Output handling(输出处理不安全)
  • System prompt leakage(系统提示词泄露)
  • Memory poisoning(记忆投毒)
  • Tool misuse(工具滥用)
  • Rogue agent(失控 Agent)
  • Anti-refusal(拒答绕过)
  • Trigger abuse(触发器滥用)
  • Dangerous code(通过 AST 分析危险代码)
  • Taint tracking(污点跟踪)
  • YARA signatures(YARA 签名匹配)
  • MCP least privilege(MCP 最小权限违反)
  • MCP tool poisoning(MCP 工具投毒)

2.2 两阶段分析

第一阶段:静态规则扫描,零 LLM 调用,几秒跑完,适合 CI/CD 流水线强制门禁。

第二阶段:可选 LLM 语义评估,深度判断「这个 prompt 是不是真的恶意」,精度高、解释性更强。

2.3 实时 CVE 数据查询

通过 OSV.dev 接口,实时查询 CVE 数据,自动离线 fallback,即使网络受限也能扫。

2.4 多 LLM 供应商

支持 7 种 LLM 提供方:

  • OpenAI(默认 gpt-5.4)
  • Anthropic(默认 claude-opus-4-6)
  • AWS Bedrock(Claude Sonnet)
  • NVIDIA NIM(deepseek-v4-flash)
  • Anthropic Proxy(Vertex-style)
  • 本地 Claude CLI / Codex CLI
  • 本地 OpenAI 兼容服务(Ollama、vLLM、llama.cpp)

2.5 多输出格式

格式 用途
Terminal 终端彩色输出,适合本地调试
JSON 机读结果,适合自定义工具
Markdown 文档化报告,适合团队内部分享
SARIF GitHub Code Scanning / IDE 集成

2.6 风险评分体系

0-100 数值评分 + 严重等级标签 + 修复建议。CI/CD 集成时可以按分数卡门禁。

2.7 基线误报抑制

支持 glob-rule 基线和 fingerprint 基线两种。已确认的安全问题可以标记为 known issue,以后重扫只显示新发现。这种设计对长期维护的存量项目至关重要。

2.8 多种扫描目标

  • 本地目录(skills 文件夹)
  • 单个 SKILL.md 文件
  • Git 仓库 URL(直接拉下来扫)
  • zip 包

2.9 CI/CD 集成

SARIF 输出直接接入 GitHub Code Scanning、Azure DevOps、GitLab CI、JetBrains IDE,在 PR 页面直接显示风险点。

2.10 Docker 部署

提供 Dockerfile,可以一行命令 docker run 完成扫描,无需安装 Python 环境。

2.11 Manifest 审计

支持审计 skill manifest(.skillspector-baseline.yaml),做到漂移容忍、规则白名单等高级管理。

2.12 多环境支持

SKILLSPECTOR_PROVIDER 环境变量切换供应商,AWS_PROFILE 支持 AWS SSO、AWS Profile、AWS env 三种鉴权链,灵活应对企业内部部署。

2.13 本地完全离线

默认配置下支持静态扫描完全离线运行,不需要任何外部 API 调用。对在隔离网络、涉密环境跑 Agent 的企业是刚需。

2.14 灵活阈值定制

风险评分阈值、规则警志等级、误报抑制策略都可以按项目定制。运维、安全、产品多角色能按需调整。

2.15 丰富生态兼容

CI 系统上接 GitHub Actions、GitLab CI、Jenkins、Azure DevOps,IDE 上接 VS Code、JetBrains IDE、Visual Studio,项目库上接 OSV.dev、Snyk。

三、使用场景

3.1 AI Agent 平台的供应链安全

企业内部跑大量 Agent,Agent 加载的 SKILL.md / 工具描述 / MCP 配置都来自内部开发者或第三方。SkillSpector 在加载前扫一遍,防止恶意 SKILL 注入。

3.2 开源 Agent 项目的安全门禁

维护一个公开的 AI Agent 仓库,所有 PR 进来先跑 SkillSpector 扫描,SARIF 报告贴到 PR 评论里,减少人工审计工作量。

3.3 CI/CD 强制安全门禁

设置 GitHub Actions 跑 SkillSpector,分数超过阈值就不让 merge。这种「自动化安全门」在企业级 AI 项目里是标配。

3.4 第三方 Skill 审计

引入第三方提供的 Skill 时,先用 SkillSpector 全量扫描,确认无恶意模式再集成,避免供应链攻击。

3.5 内部 Agent 平台合规

金融、医疗、政务等强合规行业,部署 AI Agent 必须做上下文层安全审计。SkillSpector 的 SARIF 输出 + 风险评分可以直接当作合规材料的一部分。

3.6 Agent 调试与事故复盘

Agent 出事故后,用 SkillSpector 扫一下加载的 SKILL,看是不是有恶意 prompt、外部数据源触发 prompt injection。这种「事后追溯」对企业安全团队非常关键。

3.7 Agent Marketplace 上架前审查

搭建 AI Agent / SKILL 的交易平台,商家上架 SKILL 前必须提供 SkillSpector 扫描通过的报告,从源头保障平台安全。

3.8 安全研究

研究员分析新出现的 prompt injection / 数据外泄技术时,用 SkillSpector 当「已知攻击清单」快速对样本做模式匹配,大幅提升研究效率。

3.9 教育与培训

AI 安全培训讲师可以用 SkillSpector 给学生演示「什么样的 prompt 是恶意」「为什么会被注入」,把抽象的攻击面变成可触可见的扫描报告。

3.10 模型红队训练

收集 SkillSpector 扫出来的「可疑 prompt」作为红队测试样本库,跟漏洞数据库 OSV.dev 联动,持续建设红队能力。

3.11 企业存量化 SKILL 批量审计

很多企业内部已经留存了大量 SKILL.md 、Agent 提示词模板、MCP 配置。SkillSpector 可以同时扫整个目录,一次性输出一份完整的存量资产安全报告,适合项目合规准备。

3.12 Agent SDK / 框架安全包发版检查

魔改 Agent SDK、项目级 Agent 框架上线发布前,用 SkillSpector 过一道门,可以避免加载第三方 SKILL 时的意外安全事件。

3.13 投资尽调与合规检查

企业收购、投资 Agent 项目时,可以用 SkillSpector 扫描被收购方的 SKILL/MCP 资产,作为尽调清单的一部分,补充财务尽调、代码尽调之上的一层安全视角。

四、安装与使用

4.1 最快路径:uv tool 安装

uv tool install git+https://github.com/NVIDIA/skillspector.git
# Update later: uv tool update skillspector

需要 MCP 模式时加 [mcp] extra。

4.2 源码安装

git clone https://github.com/NVIDIA/skillspector.git
cd skillspector
uv venv .venv && source .venv/bin/activate
make install

4.3 Docker 模式(无需 Python)

docker build -t skillspector .
docker run –rm -v "$PWD:/scan" skillspector scan ./my-skill/ –no-llm

4.4 基本扫描

# 扫本地目录
skillspector scan ./my-skill/

# 扫单个 SKILL.md
skillspector scan ./SKILL.md

# 扫 Git 仓库
skillspector scan https://github.com/user/my-skill

# 扫 zip 包
skillspector scan ./my-skill.zip

4.5 多格式输出

# 终端彩色
skillspector scan ./my-skill/

# JSON
skillspector scan ./my-skill/ –format json –output report.json

# Markdown
skillspector scan ./my-skill/ –format markdown –output report.md

# SARIF 集成 GitHub Code Scanning
skillspector scan ./my-skill/ –format sarif –output report.sarif

4.6 LLM 语义评估

设置 LLM 供应商:

export SKILLSPECTOR_PROVIDER=anthropic
export ANTHROPIC_API_KEY=sk-ant-…
skillspector scan ./my-skill/

默认用 Claude Opus 4-6,也可以选 openaibedrocknv_build(NIM DeepSeek-V4-Flash)。

4.7 企业级方案:Anthropic Proxy

企业内部有自建 Vertex AI 风格的代理时,接 anthropic_proxy 供应商:

export SKILLSPECTOR_PROVIDER=anthropic_proxy
export ANTHROPIC_PROXY_ENDPOINT_URL=https://my-gateway/…/claude-sonnet-4-6:streamRawPredict
export ANTHROPIC_PROXY_API_KEY=your-bearer

4.8 基线误报抑制

# 一次性接受当前所有问题为 known
skillspector baseline ./my-skill/ -o .skillspector-baseline.yaml

# 重扫时只显示新发现
skillspector scan ./my-skill/ –baseline .skillspector-baseline.yaml

详细规则参考官方 docs/SUPPRESSION.md

五、技术亮点

5.1 上下文层安全

这是核心创新–传统 SAST 扫源码,SkillSpector 扫 Agent 上下文。LLM 时代的攻击面在 prompt / tool / MCP / memory 层,代码扫描器覆盖不到,SkillSpector 填补了空白。

5.2 两阶段架构

静态扫描跑在 CI/CD 上零成本,LLM 评估按需开启。两个阶段各司其职,把「速度」和「精度」的权衡做得很优雅。

5.3 LLM 多供应商

不锁定任何一家。从 OpenAI、Anthropic 到 NVIDIA NIM、AWS Bedrock、本地 Ollama/vLLM,企业可以按合规、预算、可用性自由选择。

5.4 SARIF 标准集成

直接对接 GitHub Code Scanning、GitLab CI、JetBrains IDE。不用额外开发,Security tab 立刻能看到结果。

5.5 风险量化评分

0-100 风险评分,不只是布尔型。这让「门禁阈值」能精准定义–比如「高于 70 不让 merge」「介于 30-70 人工 review」「低于 30 直接 pass」。

5.6 实时 CVE + 离线 fallback

走 OSV.dev API 拉实时漏洞数据,同时内置离线 fallback。即使在隔离网络环境中也能跑。

5.7 多种目标扫描

本地、远程仓库、SKILL.md 单文件、zip 包都支持。对维护 Marketplace / 内部目录的场景特别友好。

5.8 漂移容忍基线

.skillspector-baseline.yaml 支持 glob 规则,fingerprint 基线,大量项目维护成本低。

5.9 NVIDIA 品牌背书

NVIDIA 在 AI 基础设施的权威性,为 SkillSpector 提供了「可以信赖」的背景。这是其他同类工具不具备的优势。

5.10 面向企业能力集成

NVIDIA 在 Windows Enterprise、AWS Marketplace、GCP Vertex AI、企业内部 IT 运维平台方面都有预留接口。企业用户在已有 NVIDIA 生态里集成 SkillSpector 近乎即插即用,交付门槛极低。

5.11 文档与社区

项目提供完整文档、官方示例、默认零配置的入门路径。社区也够活跃,反馈响应快。还能看到 NVIDIA 在该领域有多个项目共同推进(SkillSpector、SkillOpt、NVIDIA NIM),在咨询与技术支持上也有官方渠道。SkillSpector 的设计哲学继承了 NVIDIA “以基设能力底座 + 上构建生态”的逻谎,所有能力都有 NVIDIA 作后盾,这是同类同类项目难以企及的优势,这种生态位是商业独立项目难以复制的。整个 NVIDIA AI 生态化布局上是 Agent 智能体上下文安全产品间能给予客户最大信任背书的资产,也是同类项目难以复制的优势所在。从生态资源、项目资源、商业资源上 NVIDIA 都在为该项目提供独立项目难以逾越的势能。

六、同类项目对比

仓库/工具 扫描对象 LLM 评估 输出格式 适用
NVIDIA/SkillSpector Agent SKILL/工具/MCP ✅ 可选 4 种 通用 Agent 安全
Microsoft/SkillOpt Skill 训练/优化 N/A Skill 工程
Anthropic Cybersecurity Skills 安全 Skill 资源库 N/A Skill 内容
Garak(LLM 红队) LLM 自身漏洞 JSON 模型漏洞测试
PyRIT(Microsoft) LLM 红队 JSON 模型漏洞测试

SkillSpector 跟传统 LLM 红队(Garak、PyRIT)的区别:红队扫描模型本身是否能被攻破,SkillSpector 扫描 Skill / 工具 / MCP 是否携带恶意内容。两个领域互补,而不是竞争。

七、常见问题

SkillSpector 是免费的吗?

是的,Apache-2.0 许可证,可商用、可修改、可闭源衍生。NVIDIA 作为发起方,主推 LLM 安全基础设施工夫,可信度高。

跟 Garak / PyRIT 有什么区别?

Garak / PyRIT 是 LLM 自身红队(测模型能不能被攻破),SkillSpector 是 Agent 上下文扫描(测 Skill 是否携带恶意)。两者是互补关系,Garak 扫模型,SkillSpector 扫 Skill。组织里同时引入两个工具是有意义的。

能集成到 GitHub 吗?

可以。用 SARIF 格式输出,GitHub Actions 跑后把报告上传到 Code Scanning,所有 PR 自动显示安全问题,不需要额外开发。

用 LLM 评估会不会很慢/很贵?

第一阶段(静态)零 LLM 调用,可以单独跑在 CI/CD 强制门禁。第二阶段 LLM 评估默认只在需要时触发,可以选择本地 Ollama 等低成本方案。用 NVIDIA NIM 的 deepseek-v4-flash 也比 Opus 便宜一个数量级。

68 个漏洞模式够用吗?

对绝大多数常见 LLM 上下文攻击场景已经覆盖。如果你的项目面临特别小众的攻击向量,可以扩展规则集–SkillSpector 提供了规则接口,可以写自定义检测逻辑。

能扫第三方 SKILL 吗?

能。支持本地目录、SKILL.md、Git 仓库 URL、zip 包。引入任何第三方 SKILL 前先用 SkillSpector 扫一遍,是供应链安全的标准动作。

个人开发者需要用吗?

该用。SkillSpector 免费零成本,零 Python 也能跑(Docker 模式),个人 Agent 项目也可以花几秒钟保持安全检查习惯。SkillSpector 的静态扫描门槛极低,不收钱、不发请求,适合作为日常习惯使用。