NVIDIA가 조용히 오픈소스로 공개한 AI 프로젝트
요약
NVIDIA가 AI 프로젝트를 오픈소스로 공개하며 보안 위험성을 경고했습니다. SkillSpector는 설치 전 코드의 취약점을 스캔하여 자격 증명 도난, 데이터 유출, 프롬프트 주입 등을 포착하는 도구입니다. 이 도구는 0부터 100까지의 위험 점수와 함께 사용 가이드를 제공합니다.
핵심 포인트
- SkillSpector는 AI 프로젝트 코드의 보안 취약점을 스캔합니다.
- 자격 증명 도난, 데이터 유출 등 다양한 공격을 포착할 수 있습니다.
- 위험 점수와 함께 설치 여부에 대한 명확한 가이드를 제공합니다.
- Apache 2.0 라이선스를 따르며 주요 LLM들을 지원합니다.
지금 NVIDIA가 제가 지금 가장 주목받아야 한다고 생각하는 AI 프로젝트를 조용히 오픈소스로 공개했습니다.
모두들 스킬을 가진 척하며 GitHub에서 아무거나 가져와 사용하고 있습니다. 하지만 여러분은 깨닫지 못했을 수도 있습니다: 스킬은 단순히 텍스트가 아니라, 실행 가능한 코드와 함께 번들로 제공되며, 이 코드는 여러분과 완전히 동일한 권한으로 실행됩니다.
단 10분을 절약하기 위해, 이 코드는 여러분의 환경 변수를 몰래 읽거나 API 키를 슬쩍 빼낼 수 있습니다. 연구에 따르면 공개된 스킬 중 약 1/4가 취약점을 가지고 있으며, 상당수는 명백히 악성입니다.
SkillSpector는 바로 이런 점을 위해 만들어졌습니다—설치하기 전에 한 번만 스캔하세요:
- 자격 증명 도난(credential theft), 데이터 유출(data leaks), 프롬프트 주입(prompt injection) 등을 포착하는 빠른 정적 스캔, 그리고 실시간 CVE 매칭 기능
- 오탐률을 줄이기 위한 선택적 LLM 분석
마지막으로, 이 프로젝트는 0부터 100까지의 위험 점수와 함께 한 문장의 판정(safe to install, proceed with caution, or absolutely don't touch it)을 제공합니다. Apache 2.0 라이선스를 따르며 Claude Code, Codex, Gemini를 지원합니다.
다음에 스킬을 설치하려고 할 때, 저는 진심으로 이것으로 먼저 검사해 보시기를 제안합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 X @nftcps (자동 발견)의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기