SkillSpector: NVIDIA Quiere Escanear tus Skills Antes de que los Instales
Durante los últimos meses empezamos a instalar Skills con la misma naturalidad con la que hace años instalábamos paquetes de npm.
Un comando.
Un repositorio.
Cinco segundos después ya forman parte de nuestro agente.
El problema es que un Skill no es simplemente un archivo Markdown.
Puede contener:
-
instrucciones para el agente,
-
scripts,
-
acceso al sistema de archivos,
-
llamadas a herramientas,
-
ejecución de comandos,
-
workflows completos.
En otras palabras:
un Skill ejecuta con la misma confianza que le damos al agente.
Y ahí aparece una pregunta que casi nadie se hace.
¿Escaneaste ese Skill antes de instalarlo?
NVIDIA cree que deberíamos empezar a hacerlo.
Por eso publicó SkillSpector, un scanner open source diseñado específicamente para analizar Skills de agentes antes de que lleguen a tu máquina.
¿Por qué existe?
El README empieza con un dato bastante incómodo.
Investigaciones recientes sobre más de 42.000 Skills publicados encontraron que:
-
26,1% contenían al menos una vulnerabilidad.
-
5,2% mostraban indicios de comportamiento malicioso.
Eso cambia completamente la conversación.
Hasta ahora hablábamos de:
-
prompt injection,
-
MCP Servers,
-
gateways,
-
sandboxes.
Ahora aparece una nueva superficie de ataque.
Los propios Skills.
¿Qué hace SkillSpector?
Pensalo como un Dependabot o un Trivy…
…pero para Skills de agentes.
En lugar de preguntarte:
“¿Este paquete tiene una CVE?”
te ayuda a responder:
“¿Es seguro instalar este Skill?”
Puede analizar:
-
repositorios Git,
-
URLs,
-
archivos ZIP,
-
directorios locales,
-
archivos individuales.
¿Qué tipo de riesgos detecta?
SkillSpector cubre 64 patrones de vulnerabilidad agrupados en 16 categorías.
Entre ellas:
-
Prompt Injection
-
Data Exfiltration
-
Privilege Escalation
-
Supply Chain Attacks
-
Memory Poisoning
-
Rogue Agent Behavior
-
Tool Misuse
-
MCP Tool Poisoning
-
Trigger Abuse
-
Dangerous Code Patterns
-
System Prompt Leakage
Es decir, no busca únicamente malware tradicional.
También entiende amenazas propias del ecosistema de agentes.
Análisis en dos etapas
Uno de los aspectos más interesantes del proyecto es que no depende exclusivamente de expresiones regulares.
El análisis ocurre en dos fases.
1. Análisis estático
Busca rápidamente:
-
scripts sospechosos,
-
dependencias vulnerables,
-
uso de
exec, -
eval, -
llamadas peligrosas,
-
patrones conocidos.
Muy rápido.
Muy barato.
2. Análisis semántico (opcional)
Cuando una regla estática no alcanza, SkillSpector puede utilizar un LLM para responder preguntas como:
-
¿El comportamiento coincide con la descripción del Skill?
-
¿Está intentando hacer más cosas de las que promete?
-
¿Las instrucciones esconden acciones inesperadas?
Esto ayuda a reducir falsos positivos.
Instalación
SkillSpector puede instalarse directamente desde PyPI.
pip install skillspector
O ejecutarse sin instalación utilizando uv:
uvx skillspector scan <ruta-del-skill>
También soporta Docker para quienes prefieren aislar completamente el proceso de análisis. La documentación oficial incluye ejemplos para todos los modos de ejecución.
Escaneando un Skill
Por ejemplo:
skillspector scan https://github.com/usuario/mi-skill
O sobre un directorio local:
skillspector scan ./skills/database-helper
También puede analizar un ZIP descargado desde un marketplace.
Integración con GitHub Actions
Uno de los casos de uso más interesantes es incorporarlo al pipeline de CI.
Antes de aceptar un Pull Request que agrega o modifica un Skill, el pipeline puede ejecutar automáticamente SkillSpector.
Si detecta riesgos importantes…
el merge simplemente no ocurre.
Ya existen ejemplos completos para integrarlo con GitHub Actions.
Caso de uso #1 — Antes de instalar un Skill
Encontraste un Skill interesante para Claude Code.
Antes:
GitHub
↓
Instalar
Ahora:
GitHub
↓
SkillSpector
↓
Instalar
Cinco segundos extra.
Muchísima más tranquilidad.
Caso de uso #2 — Marketplace privado
Si tu empresa mantiene Skills internos, podés analizarlos automáticamente antes de publicarlos para el resto del equipo.
De esa forma el marketplace interno incorpora una primera capa de control de calidad.
Caso de uso #3 — Auditorías periódicas
Los Skills también evolucionan.
Una buena práctica puede ser volver a escanearlos cuando cambian:
-
dependencias,
-
scripts,
-
permisos,
-
herramientas.
No solo cuando se instalan por primera vez.
¿Por qué esto importa?
Creo que SkillSpector señala algo mucho más grande que el propio proyecto.
Durante años la seguridad se enfocó en:
-
paquetes npm,
-
imágenes Docker,
-
dependencias,
-
contenedores.
Ahora aparece una nueva categoría:
artefactos para agentes.
Skills.
MCP Servers.
Prompts.
Memorias.
Plugins.
Todos empiezan a formar parte de la cadena de suministro de software.
Y, como ocurrió antes con npm o Docker Hub, probablemente necesiten sus propias herramientas de seguridad.
La tendencia
Hace apenas unos meses escribíamos sobre:
-
CodeGate,
-
MCP Gateways,
-
Hooks,
-
políticas de ejecución,
-
sandboxes.
SkillSpector encaja perfectamente en esa evolución.
Ya no alcanza con preguntarnos:
“¿Qué puede hacer mi agente?”
También tenemos que empezar a preguntar:
“¿Qué estoy permitiendo que instale?”
Porque un Skill no es simplemente una ayuda para el agente.
Es código, instrucciones y comportamiento que ejecutará con la confianza que vos le otorgues.
Y, como aprendimos hace años con npm, confiar por defecto rara vez termina siendo una buena estrategia.
Recursos
Repositorio oficial
Documentación