NVIDIA, 42,447개의 공개 AI 에이전트 기술(skills) 분석: Claude Code와 같은 도구가 설치 및 실행하는 기능 패키지

NVIDIA는 Claude Code 및 기타 에이전트들이 설치하고 실행하는 기능 패키지인 42,447개의 공개 AI 에이전트 기술(skills)을 분석했으며, 그 결과는 npm 악성코드(malware) 시대가 에이전트를 대상으로 다시 재현되고 있음을 보여주었습니다. 이에 NVIDIA는 이를 잡아내기 위해 구축된 스캐너를 오픈 소스로 공개했습니다.

이 도구는 NVIDIA 계정의 GitHub에 출시된 SkillSpector입니다. 해당 연구가 42,447개의 기술을 통해 발견한 내용은 다음과 같습니다: 26.1%가 최소 하나 이상의 취약점(vulnerability)을 포함하고 있으며, 5.2%는 악의적인 의도가 있을 가능성이 높습니다. 대략 4개 중 1개는 위험하며, 20개 중 1개는 적극적으로 적대적입니다.

이 도구가 겨냥하는 문제는 구체적이고 새롭습니다. 에이전트 기술은 마켓플레이스 목록에서는 무해해 보이지만, 실제 코드에는 프롬프트 인젝션 (prompt injections), 자격 증명 탈취 (credential theft), 데이터 유출 경로 (data exfiltration paths), 과도한 권한 (overbroad permissions) 또는 공급망 공격 (supply-chain attacks)이 숨겨져 있을 수 있습니다. 그리고 일반적인 소프트웨어와 달리, 에이전트 기술은 암묵적인 신뢰와 최소한의 검증만으로 실행되며, 에이전트는 이를 그냥 실행할 뿐입니다. 표준 악성코드 스캐너는 이를 놓치는데, 그 이유는 위험이 알려진 바이러스 시그니처 (virus signature)가 아니라 주로 지시 사항과 의도에 있기 때문입니다.

SkillSpector는 바로 그 격차를 메우기 위해 구축되었습니다. 이 도구는 프롬프트 인젝션 (prompt injection), 데이터 유출 (data exfiltration), 권한 상승 (privilege escalation), 공급망 (supply chain), 과도한 대리 권한 (excessive agency), 도구 오염 (tool poisoning), 메모리 오염 (memory poisoning) 및 MCP 특화 위험을 포함하여 16개 카테고리에 걸쳐 64가지 취약점 점검을 수행합니다. Git 리포지토리, URL, zip 파일 또는 단일 파일을 입력하면, 기술을 설치하기 전에 심각도 라벨과 명확한 권장 사항이 포함된 0~100 사이의 위험 점수를 반환합니다. 기본적으로 빠른 정적 점검 (static checks)을 수행하며, 기술이 수행한다고 주장하는 내용과 실제로 수행하는 내용을 비교하는 선택적인 심층 AI 지원 분석 기능을 제공합니다.

이는 감사 가능한 (auditable) 셀프 호스팅 스택 (self-hosted stacks)이 구체화된 사례입니다. 프로덕션 에이전트 시스템 (production agent system)에서는 마켓플레이스나 Discord 링크에서 가져온 무작위 생산성 기술 (productivity skill)을 맹목적으로 신뢰할 여유가 없습니다. 이와 같이 개방적이고 검사 가능한 (inspectable) 도구는 에이전트를 실행하는 사람에게 권력을 다시 부여합니다. 즉, 먼저 스캔하고, 자신의 리스크 표면 (risk surface)을 관리하며, 클라우드 제공업체가 상류 (upstream)의 모든 것을 잡아냈기를 바라는 막연한 기대에서 벗어나게 합니다.

에이전트 붐은 빠르게 도래했습니다. 그에 따른 보안 계층 (security layer)은 이제 막 도착하고 있으며, 이 스캐너가 오픈 소스 (open source)라는 점이 바로 핵심입니다. 여러분은 자신의 기술 (skills)과 자신의 파이프라인 (pipeline)에서 직접 이를 실행하여, 어떤 것이 실행되기 전에 판결 (verdict)을 확인할 수 있습니다.