엔비디아, AI 에이전트 스킬 보안 취약점 잡아내는 오픈소스 '스킬스펙터' 공개

엔비디아가 AI 에이전트의 '스킬'을 설치하기 전에 취약점과 악성 패턴, 보안 위험을 미리 검사하는 오픈소스 보안 스캐너 '스킬스펙터(SkillSpector)'를 공개했다. 이 스킬을 설치해도 안전한지를 가려주는 것이 목표다.

엔비디아는 클로드 코드, 코덱스 CLI, 제미나이 CLI 등에서 쓰이는 AI 에이전트 스킬이 암묵적 신뢰 아래 거의 검증 없이 실행된다는 점을 문제로 짚었다. 회사가 인용한 연구에 따르면 스킬의 26.1%가 취약점을 포함하고 있으며, 5.2%는 악의적 의도를 보인 것으로 나타났다.

스킬스펙터는 16개 카테고리에 걸친 64개 취약점 패턴을 탐지한다. 카테고리에는 프롬프트 인젝션, 데이터 유출, 권한 상승, 공급망, 과도한 자율성, 출력 처리, 시스템 프롬프트 유출, 메모리 오염, 도구 오용, 악성 에이전트, 트리거 남용, 위험 코드 분석(AST), 오염 추적, YARA 시그니처, MCP 최소 권한, MCP 도구 오염이 포함된다.

분석은 두 단계로 이뤄진다. 빠른 정적 분석을 먼저 수행한 뒤, 선택적으로 LLM 기반 의미 분석을 더한다. 입력 형식도 다양해 깃 저장소, URL, 압축 파일, 디렉터리, 단일 파일을 모두 검사할 수 있다.

공급망 점검 패턴 가운데 하나인 SC4는 OSV.dev에 실시간으로 질의해 알려진 CVE 정보를 조회하며, 오프라인일 때는 자동으로 대체 동작한다. 검사 결과는 터미널, JSON, 마크다운, SARIF 형식으로 출력되고, 0~100점의 위험 점수와 심각도 라벨, 권고 사항이 함께 제시된다.

탐지 패턴에는 심각도가 가장 높은 항목들도 있다. 실행 중 자기 코드나 설정을 바꾸는 자기 변형(RA1), 네트워크나 인코딩된 데이터와 결합된 exec·eval 실행 체인(AST8), 환경변수·비밀값 같은 자격증명이 네트워크 출력으로 흘러가는 자격증명 유출 체인(TT3) 등이 '크리티컬'로 분류된다.

의미 분석을 위해서는 OpenAI 호환 LLM 엔드포인트를 연결해 쓰는 것을 권장한다. 스킬스펙터는 올라마, vLLM, llama.cpp 같은 로컬 OpenAI 호환 서버는 물론 관리형 추론 게이트웨이와도 연동된다.