117,854개의 AI 에이전트 스킬에 대한 보안 등급을 매겼습니다. 그 결과는 다음과 같습니다.

전체 카탈로그 중 단 17.7%만이 등급을 매길 수 있을 만큼 충분히 대중적이며, 등급이 매겨진 스킬 32개 중 1개는 안전하지 않습니다. 위험은 롱테일(long tail)에 존재하며, 에이전트 네이티브(agent-native)의 새로운 공격 표면도 존재합니다.

우리는 117,854개의 AI 에이전트 스킬에 대한 보안 등급을 매겼습니다. 그 결과는 다음과 같습니다. | Agent Skills Hub

단 17.7%만이 등급을 매길 수 있을 만큼 충분히 대중적입니다. 등급이 매겨진 스킬 중 32개 중 1개는 안전하지 않습니다. 위험은 롱테일(long tail)에 존재합니다.

agentskillshub.top

불편한 점은 안전하지 않은 스킬들이 아닙니다. 검토된 스킬 자체가 너무 적다는 사실입니다.

AI 에이전트 스킬이나 MCP 서버를 설치한다는 것은 신뢰할 수 없는 코드에 당신의 셸(shell), 환경 변수(environment variables), 그리고 점점 더 늘어나고 있는 에이전트 자체의 설정(config)과 메모리(memory)를 넘겨주는 것을 의미합니다. 발견하는 것은 쉽습니다. 선택할 수 있는 것이 수만 개나 되기 때문입니다. 하지만 당신이 찾은 것이 실행하기에 안전한지 아는 것은 쉽지 않습니다.

그래서 우리는 카탈로그 전체를 스캔했습니다. 여기 솔직한 현황이 있습니다.

📄 이 글은 교차 게시물입니다. 원문 버전(차트 포함): agentskillshub.top/blog/securing-117k-ai-skills

스캔 방법

SlowMist의 에이전트 보안 프레임워크(Agent Security Framework)와 그 11가지 레드 플래그(red-flag) 카테고리를 모델로 한 규칙 기반 스캐너(rule-based scanner)를 사용했습니다. 이 스캐너는 각 스킬의 README와 코드를 대상으로 정적 검사(static checks)를 수행하여 구체적인 패턴을 찾습니다: 외부 데이터 유출(curl -d $(...)), 자격 증명 수집(env | grep -i token), .env / .ssh / .aws 읽기, curl | sh 설치 스크립트, 권한 상승(privilege escalation), 지속성(persistence), 그리고 비밀 정보 유출(secret-exfil) 조합 등을 확인합니다. 각 스킬은 안전(safe) / 주의(caution) / 위험(unsafe) / 거부(reject) 등급을 받으며, 위반한 특정 플래그(flags)도 함께 표시됩니다. README가 없거나 너무 최신이라 가져올 수 없는 스킬은 알 수 없음(unknown) 상태로 유지됩니다.

이것은 의도적으로 설계된 첫 번째 계층입니다. 이는 의도가 아닌 패턴을 포착합니다. 11만 7천 개 규모에서는 이 패턴 계층이 카탈로그를 감사(auditable) 가능하게 만드는 핵심입니다.

결과 1 — 카탈로그의 82%가 등급이 매겨진 적이 없음

인덱싱된 117,854개의 스킬 중, 단 **20,853개(17.7%)**만이 별 5개 기준을 통과했습니다. 이 기준은 스킬이 등급을 매길 가치가 있을 만큼 충분히 대중적인 임계값(threshold)입니다. 나머지 약 97,000개는 사실상 감사가 이루어지지 않은 상태입니다.

"11만 7천 개의 스킬이 있습니다"라는 말은 기능(feature)이 아닙니다. 중요한 숫자는 실제로 얼마나 신뢰할 수 있느냐이며, 롱테일(long tail) 영역에 대한 정직한 답변은 다음과 같습니다: 아무도 살펴본 적이 없습니다.

결과 2 — 등급이 매겨진 스킬 중 32개 중 1개는 안전하지 않거나 그보다 더 위험함

등급	비중
🟢 안전 (safe)	85.5%
...

8.4%는 보안 우려 사항을 포함하고 있습니다. 3.1% — 약 32개 중 1개 —는 안전하지 않거나 거부(reject) 대상입니다. 이 카탈로그 규모에서 이는 약 650개의 등급 매겨진 스킬이 다른 모든 것과 동일한 검색 결과에 섞여 있으며, 당신이 눈을 감고 실행해서는 안 되는 스킬임을 의미합니다.

결과 3 — 인기가 안전성을 예측합니다. 위험은 롱테일(long tail)에 존재합니다.

별점	안전하지 않음 / 거부
5–20★	4.1%
...

당신이 들어본 적 있는 스킬은 거의 확실히 괜찮을 것입니다. 위험은 니치(niche)한 작업을 위해 검색했을 때 집어 들게 될 이름 모를 7성급 리포지토리(repo)에 있습니다. 이는 디렉토리가 도움을 주어야 하는 바로 그 순간이며, 보통은 도움을 주지 못하는 지점입니다.

결과 4 — 레드 플래그(red flags)에는 에이전트 네이티브(agent-native)의 새로운 공격 표면이 포함됩니다

플래그(flagged)된 1,000개 스킬 샘플 중 가장 흔한 플래그:

플래그	횟수
sudo 사용	483
...

전형적인 셸(shell) 위험이 지배적입니다. 하지만 agent config theft (87)와 agent memory theft (23)를 보십시오: 당신의 에이전트 설정 파일과 메모리 파일을 읽는 스킬들입니다. 이것은 서버 익스플로잇(exploit)이 아닙니다. 당신이 에이전트를 실행하고 있기 때문에 존재하는 새로운 공격 표면(attack surface)입니다. 당신의 Claude/MCP 설정, 저장된 컨텍스트, 프록시를 통한 자격 증명(credentials) 등이 해당됩니다. 위협 모델(threat model)이 이동했으나, 대부분의 디렉토리는 이를 알아차리지 못했습니다.

대응 방안

설치하기 _전_에, 이미 사용 중인 환경에서 신뢰 신호(trust signal)를 확인하십시오:

npx @agentskillshub/cli search "postgres mcp" --safe
npx @agentskillshub/cli audit owner/repo

모든 결과에는 해당 등급과 위반된 특정 플래그(flags)가 포함되어 있습니다. --safe 옵션은 감사가 수행되지 않았거나 그보다 더 위험한 항목을 숨깁니다.

솔직한 주의사항 (이것이 이 작업의 핵심입니다)

• 우리의 3%는 천장이 아니라 바닥입니다. 학술적 심층 분석 (Liu et al., 2026, arXiv:2601.10338)에 따르면, 에이전트 스킬(agent-skill)의 취약점 비율은 26.1%에 달합니다. 이는 그들이 단순히 패턴이 아닌 의미론(semantics)을 분석하기 때문입니다. 우리의 규칙 기반(rule-based) 1차 패스는 의도적으로 수치를 낮게 보고합니다. 3%를 더 큰 문제의 하한선으로 이해해 주십시오.
• ⚪ unknown은 "아마 괜찮을 것"이라는 뜻이 아닙니다. 이는 _아무도 확인하지 않았다_는 의미입니다. 카탈로그의 97,000개가 unknown 상태입니다. 우리는 이를 회색으로 표시하며 미화하지 않습니다.
• 모든 수치는 재현 가능합니다. 모든 등급은 웹사이트와 CLI를 통해 확인할 수 있습니다. 직접 다시 도출해 보셔도 좋습니다.

좋은 소식만 알려주는 신뢰 계층(trust layer)은 신뢰할 수 없습니다. 97,000개의 스킬에 대해 우리가 말할 수 있는 가장 유용한 사실은 아직 모른다는 것이며, 우리는 그 사실을 숨김없이 말씀드립니다.

차트가 포함된 전체 보고서: We security-graded 117,854 AI agent skills. 설치 전 모든 스킬을 확인하세요: npx @agentskillshub/cli audit owner/repo.