NVIDIA SkillSpector: Open-Source-Scanner für KI-Agenten-Skills

TL;DR: NVIDIA hat mit SkillSpector einen quelloffenen Sicherheitsscanner für KI-Agenten-Skills veröffentlicht (Apache 2.0). Das Tool prüft MCP-Server, Claude-Code-Skills, Codex- und Gemini-CLI-Erweiterungen auf 64 Schwachstellenmuster in 16 Kategorien, von Prompt Injection über Data Exfiltration bis MCP Tool Poisoning. Eine Studie mit 42.447 analysierten Skills zeigt: 26,1 % enthalten Sicherheitslücken, 5,2 % wirken böswillig. Mit optionaler LLM-Analyse erreicht SkillSpector eine Precision von rund 87 %.

Was ist NVIDIA SkillSpector?

SkillSpector ist ein statischer und optional LLM-gestützter Sicherheitsscanner für KI-Agenten-Skills. Entwickelt wurde er von NVIDIA und unter Apache 2.0 lizenziert, also vollständig Open Source. Das Tool beantwortet eine Frage, die mit der Verbreitung von Coding Agents wie Claude Code, OpenAI Codex und Gemini CLI samt ihrer Skill-Ökosysteme immer dringlicher wird: Ist dieser Skill sicher zu installieren? Das Problem dahinter: Agenten-Skills laufen mit implizitem Vertrauen und kaum Prüfung. Ein Skill, der harmlos aussieht, kann versteckte Prompt-Injection-Befehle enthalten, Umgebungsvariablen abgreifen oder Schadcode ausführen. Anders als bei npm- oder PyPI-Paketen gibt es für Skills bisher kein etabliertes Security-Gate. Wenn du wissen willst, was so ein Skill überhaupt ist und wie er aufgebaut wird, lies den Hintergrund zu Claude Skills 2.0. SkillSpector schließt diese Lücke mit 64 Prüfmustern, einer Risk-Score-Bewertung von 0 bis 100 und CI/CD-Integration über SARIF-Reports. Kerndaten | Merkmal | Wert | |---------|------| | Entwickler | NVIDIA | | Lizenz | Apache 2.0 | | Sprache | Python 3.12+ | | Prüfmuster | 64 in 16 Kategorien | | GitHub Stars | ~8.800 (Stand Juni 2026) | | Ausgabeformate | Terminal, JSON, Markdown, SARIF | | LLM-Analyse | optional (OpenAI, Anthropic, NVIDIA, lokal) | | Installation | git + make install / Docker | | Repository | github.com/NVIDIA/SkillSpector |

Warum brauchst du einen Skill-Scanner?

Die Zahlen sind alarmierend. Die Studie "Agent Skills in the Wild" (Liu et al., 2026), auf die sich SkillSpector stützt, hat 42.447 Skills aus öffentlichen Quellen analysiert. Das Ergebnis: - 26,1 % enthalten mindestens eine Sicherheitslücke - 5,2 % zeigen Anzeichen böswilliger Absicht - Skills mit ausführbaren Scripts sind 2,12× häufiger verwundbar als solche ohne Übertragen auf einen Marktplatz heißt das: Bei jedem zwanzigsten Skill steht der Verdacht böswilliger Absicht im Raum. Und die Plattformen wachsen ungebremst, vergleichbar mit den frühen Tagen von npm und PyPI, wo Supply-Chain-Angriffe heute Alltag sind. ClawHub, der Skill-Marktplatz für OpenClaw-Agenten, musste nach einem Sicherheitsvorfall Berichten zufolge über 2.400 verdächtige Skills entfernen und eine automatische Malware-Prüfung über VirusTotal einführen. Die Angriffsvektoren sind vielfältig: Ein kompromittierter Skill kann Credentials aus dem Context Window abgreifen, das Arbeitsgedächtnis des Agenten vergiften oder andere Werkzeuge in unerlaubten Sequenzen anstoßen. OWASP führt MCP Tool Poisoning inzwischen als eigene Angriffsklasse im Top 10 for LLM Applications. Besonders tückisch: Skill-Output landet nicht als Rohdaten im Agenten, sondern als vertrauenswürdiger Kontext im Reasoning-Loop. Ein infizierter Skill klinkt sich so direkt in die Entscheidungskette des gesamten Agenten ein. Genau dieses Vertrauensproblem zwischen autonomen Agenten beschreibt auch der Agent Name Service (ANS).

Was prüft SkillSpector? Die 16 Kategorien

SkillSpector deckt 64 Muster in 16 Kategorien ab, von klassischen SAST-Prüfungen bis zu agentenspezifischen Bedrohungen: | Kategorie | Muster | Beispiele (Severity) | |-----------|--------|----------------------| | Prompt Injection | 5 | Instruction Override (HIGH), Hidden Instructions (HIGH), Harmful Content (CRITICAL) | | Data Exfiltration | 4 | Env Variable Harvesting (HIGH), Context Leakage (HIGH) | | Privilege Escalation | 3 | Credential Access (HIGH) | | Supply Chain | 6 | Known Vulnerable Dependencies (HIGH via OSV.dev), Typosquatting (HIGH) | | Excessive Agency | 4 | Unrestricted Tool Access (HIGH), Autonomous Decision Making (HIGH) | | Memory Poisoning | 3 | Persistent Context Injection (HIGH), Memory Manipulation (HIGH) | | Tool Misuse | 3 | Tool Parameter Abuse (HIGH), Chaining Abuse (HIGH) | | Rogue Agent | 2 | Self-Modification (CRITICAL), Session Persistence (HIGH) | | Behavioral AST | 8 | exec() Call (CRITICAL), eval() Call (HIGH), Dangerous Execution Chain (CRITICAL) | | Taint Tracking | 5 | Credential Exfiltration Chain (CRITICAL) | | YARA Signatures | 4 | Malware Match (CRITICAL), Webshell Match (CRITICAL) | | MCP Least Privilege | 4 | Underdeclared Capability (HIGH), Wildcard Permission (MEDIUM) | | MCP Tool Poisoning | 4 | Hidden Instructions (HIGH), Unicode Deception (HIGH) | | System Prompt Leakage | 3 | Direct Leakage (HIGH) | | Output Handling | 3 | Unvalidated Output Injection (HIGH) | | Trigger Abuse | 3 | Shadow Command Trigger (HIGH) | Besonders relevant sind zwei Mechanismen: Die AST-basierte Erkennung gefährlicher Python-Konstrukte (exec, eval, subprocess, dynamische Imports) und das Taint Tracking für Angriffsketten. Ein einzelner Dateizugriff ist harmlos. Eine Kette aus Datei lesen, HTTP-Request bauen und Daten an einen externen Server senden ist Data Exfiltration.

Wie funktioniert das Risk Scoring?

Der Score von 0 bis 100 errechnet sich aus den Severity-Stufen der Funde: | Stufe | Punkte | |-------|--------| | CRITICAL | +50 | | HIGH | +25 | | MEDIUM | +10 | | LOW | +5 | Skills mit ausführbaren Scripts werden zusätzlich höher gewichtet, weil sie laut Studie 2,12× wahrscheinlicher verwundbar sind. Die Gesamtbewertung übersetzt SkillSpector in eine klare Empfehlung: | Score | Bewertung | Empfehlung | |-------|-----------|------------| | 0–20 | LOW | Installieren (SAFE) | | 21–50 | MEDIUM | Manuell prüfen (CAUTION) | | 51–80 | HIGH | NICHT INSTALLIEREN | | 81–100 | CRITICAL | NICHT INSTALLIEREN |

Wie installierst du SkillSpector?

Via Git und venv Via Docker (kein Python nötig) Skills scannen SkillSpector akzeptiert lokale Verzeichnisse, einzelne Dateien, Git-Repos und Archive: Output-Formate

Wann lohnt sich die LLM-Analyse?

SkillSpector kann eine zweite Analyse-Ebene per LLM aktivieren, um kontextuelle Risiken zu erkennen, die statische Prüfungen übersehen, etwa subtile Abweichungen zwischen der Beschreibung eines Skills und seinem tatsächlichen Verhalten: Unterstützte Provider und ihre dokumentierten Default-Modelle: | Provider | Env-Variable | Default-Modell | |----------|-------------|----------------| | openai | OPENAIAPIKEY | gpt-5.4 | | anthropic | ANTHROPICAPIKEY | claude-opus-4-6 | | nvbuild | NVIDIAINFERENCEKEY | deepseek-ai/deepseek-v4-flash | | Ollama/vLLM | OPENAIBASEURL + OPENAIAPIKEY=ollama | beliebig | Die LLM-Schicht hebt die Precision laut NVIDIA auf rund 87 % und reduziert False Positives. Faustregel: Für Massenscans nimmst du den statischen Modus (--no-llm), für die finale Einzelprüfung verdächtiger Skills schaltest du die LLM-Analyse dazu.

Wie schlägt sich SkillSpector gegen andere Scanner?

Der Markt für Skill-Scanner ist 2026 schnell gewachsen. Die wichtigsten Alternativen im Überblick: | Kriterium | NVIDIA SkillSpector | Cisco AI Defense skill-scanner | Snyk Agent Scan | SkillSieve (Forschung) | |-----------|---------------------|-------------------------------|-----------------|------------------------| | Typ | Open Source (Apache 2.0) | Open Source | Snyk Labs, kostenlos nutzbar | Akademisches Framework | | Prüftiefe | 64 Muster / 16 Kategorien | Prompt Injection, Data Exfiltration, Malicious Code | 15+ Risiken über MCP & Skills | 3-stufige Triage (statisch → LLM → LLM-Jury) | | LLM-Schicht | optional (~87 % Precision) | ja | ja | ja (Multi-Modell-Voting) | | MCP-Support | ja (Least Privilege + Tool Poisoning) | teilweise | ja | k. A. | | CI/CD-Output | SARIF, JSON, Markdown | SARIF | JSON | Benchmark | | Besonderheit | breiteste Musterabdeckung, Docker | "best-effort", Cisco-Backing | Inventar der gesamten Agenten-Kette | F1 0,800 auf 400-Skill-Benchmark, ~0,006 $/Skill | Meine Einschätzung: SkillSpector hat die breiteste öffentlich dokumentierte Musterabdeckung und als einziges dieser Tools dedizierte MCP-Checks für Least Privilege und Tool Poisoning. Der Docker-Support macht die CI/CD-Integration trivial. Snyk Agent Scan punktet damit, die gesamte Agenten-Kette zu inventarisieren, nicht nur einzelne Skills. SkillSieve ist kein Produkt, sondern ein Forschungsframework, erreicht mit seiner dreistufigen Triage aber einen F1-Wert von 0,800 bei rund 0,006 US-Dollar pro Skill. Wer heute ein konkretes CI/CD-Gate braucht, fährt mit SkillSpector am breitesten.

Wo stößt SkillSpector an Grenzen?

So nützlich SkillSpector ist, Blindstellen bleiben. Diese vier solltest du kennen: 1. Keine Analyse von Bildern, verschlüsselten oder binären Inhalten. NVIDIA dokumentiert diese Lücke selbst. Statische Analyse sieht nur, was im Klartext vorliegt. 2. Pre-Install-Scanner sind grundsätzlich umgehbar. Sicherheitsforscher von Trail of Bits haben in einem vielbeachteten Test mehrere Skill-Scanner ausgehebelt, drei von vier in unter einer Stunde. Ihre Methoden: 100.000 Zeilenumbrüche vor der eigentlichen Payload (Whitespace-Inflation), präkompilierter Python-Bytecode (.pyc), in DOCX-Archive versteckte Schadlast und Social Engineering gegen LLM-gestützte Prüfer. Geprüft wurden unter anderem die Detektoren von ClawHub, Cisco und der Plattform skills.sh. Die Cloud Security Alliance fasste die Ergebnisse unter dem Titel "Bypassed Across the Board" zusammen. Das Prinzip gilt für jeden statischen Pre-Install-Scanner, also auch für SkillSpector. 3. Keine Runtime-Überwachung. SkillSpector prüft vor der Installation, nicht zur Laufzeit. Ein Skill, der beim Scan sauber aussieht, kann sich später anders verhalten. 4. Die LLM-Schicht kostet Tokens und API-Calls. Bei vielen Skills wird das teuer. Für Massenscans empfiehlt NVIDIA den statischen Modus. Die zentrale Lehre der CSA-Analyse: "Don't outsource trust to a scanner." SkillSpector ist ein Werkzeug, kein Ersatz für manuelle Prüfung und ein durchdachtes Security-Konzept.

Für wen lohnt sich SkillSpector?

| Zielgruppe | Nutzen | |------------|--------| | Claude-Code-Nutzer | MCP-Server und Skills vor der Installation prüfen | | Codex- und Gemini-CLI-Nutzer | Sicherheitscheck für CLI-Skills aus Third-Party-Registries | | Enterprise-DevSecOps | CI/CD-Gate mit SARIF-Reports und Block-Regeln | | MCP-Server-Entwickler | Eigene Server auf Least-Privilege-Verstöße prüfen | | Plattform-Betreiber | Automatische Prüfung von Pull Requests im Skill-Marktplatz | Wer Agenten nicht lokal, sondern governt in der Cloud ausführt, kombiniert das Scanning sinnvoll mit Sandbox-Strukturen, wie sie etwa Claude Managed Agents bieten.

FAQ: Häufig gestellte Fragen zu NVIDIA SkillSpector

Kann ich damit MCP-Server scannen? Ja. SkillSpector hat dedizierte Prüfungen für MCP Least Privilege und MCP Tool Poisoning, zwei Kategorien, die die meisten anderen Open-Source-Scanner nicht abdecken. Funktioniert der Scanner offline? Weitgehend. Der statische Modus (--no-llm) braucht keine Internetverbindung. Nur die Live-Abfragen bekannter Schwachstellen über OSV.dev und die optionale LLM-Analyse benötigen einen Online-Zugang. Wie schnell ist ein Scan? Statische Scans laufen für einzelne Skills im Millisekundenbereich. Die optionale LLM-Analyse dauert je nach Modell und API-Latenz einige Sekunden pro Skill. Ist SkillSpector wirklich kostenlos? Ja. Das Tool steht unter Apache 2.0 und ist vollständig quelloffen. Kosten entstehen nur, wenn du für die optionale LLM-Analyse einen eigenen API-Key eines kommerziellen Anbieters nutzt. Ist ein sauberer Scan eine Sicherheitsgarantie? Nein. Sicherheitsforscher haben gezeigt, dass sich statische Pre-Install-Scanner umgehen lassen. Ein niedriger Risk Score senkt das Risiko, ersetzt aber weder manuelle Prüfung noch Laufzeit-Kontrollen.

Fazit

NVIDIA SkillSpector ist der derzeit umfassendste quelloffene Scanner für Skill-Sicherheit: 64 Prüfmuster, ein nachvollziehbarer Risk Score und SARIF-Output für CI/CD. Die zugrunde liegende Studie mit 26,1 % verwundbaren Skills ist ein Weckruf für alle, die Coding Agents produktiv einsetzen. Aber ein Scanner allein reicht nicht, denn jeder automatisierte Prüfer ist umgehbar. Behandle SkillSpector als Baseline-Gate, nicht als Freifahrtschein: Critical- und High-Funde blocken, Medium-Funde manuell prüfen. Für Claude-Code-Nutzer lohnt sich die Gewohnheit, vor jedem neuen MCP-Server und jedem Skill-Import einmal skillspector scan <pfad laufen zu lassen. Verwandte Themen: Was Claude Skills 2.0 sind und wie du eigene baust, das Protokoll hinter den geprüften Tools im Guide zu WebMCP und der Zukunft der KI-Web-Kommunikation, das Agent Name Service (ANS) als Antwort auf das Vertrauensproblem bei KI-Agenten und Claude Managed Agents für governte Ausführung in der Cloud. Verifizierte Quellen: - NVIDIA SkillSpector GitHub Repository: https://github.com/NVIDIA/SkillSpector - NVIDIA Documentation – Scan Agent Skills Before Installation: https://docs.nvidia.com/skills/scanning-agent-skills - Trail of Bits – The sorry state of skill distribution (03.06.2026): https://blog.trailofbits.com/2026/06/03/the-sorry-state-of-skill-distribution/ - CSA Research Note – AI Agent Skill Scanners: Bypassed Across the Board (10.06.2026): https://labs.cloudsecurityalliance.org/research/csa-research-note-ai-agent-skill-scanner-bypass-20260610-csa/ - SkillSieve – A Hierarchical Triage Framework (arXiv): https://arxiv.org/abs/2604.06550 - MarkTechPost – NVIDIA SkillSpector Guide (17.06.2026): https://www.marktechpost.com/2026/06/17/nvidia-skillspector-guide-scanning-ai-skills-for-security-risks-with-static-analysis-and-sarif-reports/ - OWASP Top 10 for LLM Applications: https://owasp.org/www-project-top-10-for-llm-applications/ - OSV.dev Vulnerability Database: https://osv.dev/