연구 데이터에 따르면, 스킬 플러그인 4분의 1 이상이 취약점을 가지고 있으며, 5.2%는 악의적인 의도를 포함하고 있습니다.
요약
NVIDIA가 Agent 플러그인 및 스킬의 보안 위험을 전문적으로 검사하는 오픈소스 도구 SkillSpector를 공개했습니다. 이 도구는 프롬프트 인젝션, 데이터 절도 등 16가지 주요 범주에 걸쳐 64개의 취약점 탐지 규칙을 포함합니다. 정적 분석과 대규모 모델 기반의 의미론적 분석을 통해 정확한 위험 점수와 개선 방안을 제공하여 개발자들의 보안 강화를 돕습니다.
핵심 포인트
- NVIDIA가 Agent 플러그인/스킬용 오픈소스 스캐너 SkillSpector 공개
- 프롬프트 인젝션, 데이터 절도 등 16가지 주요 취약점 범주 커버
- 정적 분석 후 대규모 모델 기반 의미론적 분석으로 정확성 높임
연구 데이터에 따르면, 스킬 플러그인(skill plugins)의 4분의 1 이상이 취약점(vulnerabilities)을 가지고 있으며, 심지어 5.2%는 악의적인 의도(malicious intent)를 담고 있는 것으로 나타났습니다.
이에 NVIDIA가 보안 스캐닝 도구인 SkillSpector를 오픈소스로 공개했습니다. 이 도구는 Agent 플러그인과 스킬에 존재하는 보안 위험을 전문적으로 스캔하고 식별하도록 설계되었습니다.
GitHub:
http://github.com/NVIDIA/SkillSpector
…
이 도구는 프롬프트 인젝션(prompt injection), 데이터 절도(data theft), 권한 상승(privilege escalation), 공급망 공격(supply chain attacks) 등 16가지 주요 범주를 다루는 64개의 취약점 탐지 규칙을 포함하고 있습니다.
Git 저장소, 로컬 디렉토리, 압축 패키지, 심지어 개별 파일까지 스캔할 수 있으며, 스캔 직후 0부터 100까지의 위험 점수(risk score)와 설치 권장 사항을 제공합니다.
분석은 두 단계로 진행됩니다. 먼저 빠른 정적 스캔(static scan)을 수행한 후, 대규모 모델(large models)과의 통합을 통해 의미론적 분석(semantic analysis)을 거쳐 오탐지(false positives)를 걸러내고 읽기 쉬운 설명을 제공합니다.
Claude Code나 Codex를 사용하는 사용자 중 플러그인과 스킬을 많이 설치한 모든 사람에게 적합합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 X @github_daily (자동 발견)의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기