NVIDIA, 현재 사용 중인 AI 에이전트 스킬 4개 중 1개에 보안 취약점이 있다고 발표

🚨 NVIDIA가 현재 실행 중인 AI 에이전트 스킬 4개 중 1개에 보안 취약점(security vulnerability)이 있다는 사실을 방금 공개했습니다.

그들은 이를 증명하기 위해 스캐너를 구축했습니다. 이름은 SkillSpector입니다.

어떤 AI 스킬이든 대상으로 지정하세요. 0에서 100 사이의 안전 점수(safety score)를 받으세요. 설치해도 안전한지 즉시 알 수 있습니다.

그들의 연구 결과는 다음과 같습니다:

→ 스킬의 26.1%가 취약점을 포함하고 있음
→ 5.2%는 악성(malicious)일 가능성이 높음
→ 대부분의 개발자들은 단 한 줄도 확인하지 않고 스킬을 설치함

이것을 생각해 보세요. 당신은 이 스킬들에게 당신의 터미널(terminal), 파일, API 키에 대한 모든 권한을 부여하고 있습니다. 그런데 그중 4개 중 1개가 침해된 상태입니다.

이 도구가 잡아내는 것은 다음과 같습니다:

→ 환경 변수 수집 (Environment variable harvesting, 당신의 API 키를 훔치는 행위)
→ 숨겨진 외부 데이터 전송
→ 난독화된 코드(Obfuscated code) 및 자격 증명 유출(credential exfiltration)
→ AI 에이전트 워크플로우에 특화된 공격 패턴

이것은 일반적인 코드 스캐너가 아닙니다. Claude Code, Codex, Gemini CLI, Cursor, 그리고 Copilot에서 사용되는 AI 스킬을 위해 특별히 제작되었습니다.

2026년은 공급망 공격(supply chain attacks)에 매우 가혹한 해였습니다. Trivy, TanStack, Bitwarden CLI가 타격을 입었습니다. 심지어 GitHub 자체의 내부 리포지토리(internal repos)도 공격을 받았습니다.

스킬(Skills)은 가장 새로운 공격 표면(attack surface)입니다. 그리고 지금까지 이를 스캔할 수 있는 도구는 전무했습니다.

NVIDIA가 구축했습니다. 발표된 연구 논문(research paper)에 의해 뒷받침됩니다. 단순한 주말 프로젝트가 아닙니다.

100% 오픈 소스(Open Source). Apache 2.0 라이선스.
[IMG:1]