AgentPantheon
Skill Scanner logo

Skill ScannerNyílt forráskódú biztonsági skannerek, amely auditálja az AI-ügynök képességeit a késési injekciós és gáncskodó mintákra.

4.7 (6)
Daniel NikulshynÉrtékelte Daniel Nikulshyn·Frissítve 2026. május

Áttekintés

A Skill Scanner egy nyílt forráskódú statikus analizáló eszköz, amely biztonsági kockázatokat vizsgál a virtuális ügynök-készségekben és beágyazott pluginokban a legyártásuk előtt. Az eszköz bejegyzett készségek, utasítások és csomagolt kód vizsgálatát végez, szövegbeviteli kiszedő, elrejtett adatkihallgató- és gyanús kód minták után kutatva, amik bárki ügynökét vagy használóit veszélyeztetik. Az eredmények kiadása SARIF formátumban történik, ami megkönnyíti a hibák integrálását a CI folyamatokba, az összefoglalókba vagy a biztonsági panelbe, például a GitHub code scoutingba. A fejlesztők és a biztonsági csapatok segítségével megvizsgálhatják a harmadik féltől származó készségeket, megerősíthetik a saját összetevőiket és alapértelmezett ellenőrzéseket vezethetnek be az ügynökkörnyezeten keresztül. Mivel a projekt nyílt forráskódú, a szabályok és adatkörülmények bővíthetők vagy szabályozhatók, hogy megfeleljenek az szervezetének specifikus veszélymodelleknek és politikáinak.

Fő funkciók

  • A prompt injekció minták észlelése
  • Adat elszállítás heurisztikus értékelések
  • Gáncskodó kód minták felkutatása
  • SARIF jelentés kimenet
  • CI/CD folyamat integráció
  • Kiterjeszthető szabálykészlet

Árazás

Modell
Freemium
Értékelés
4.7 / 5 (6)

Felhasználási esetek

Kerülje a harmadik féltől származó Ágensek felvételét

Felkutassa a külső képességeket és plugineket a késési injekciók és a suspiciumos kódsémákra a felvitelük elkerülése végett, ezzel redukálva a megbízhatatlan integrációk kockázatát.

A fenyegetés ellenőrzések végrehajtása a CI/CD folyamatban

Integrálja a Skill Scanner-t a felépítési folyamatokba az ellenőrzéséhez a SARIF jelentés kimenetnek és automatikusan blokkoljon a pull kérési ágenseket, amelyek megbízhatatlan kód-állást hoznak.

A fenyegetésfelfedezés kód-ágensekben a GitHub kód-átjáró számára

Vízszinten küldje az SARIF jelentés kimeneteket a GitHub kód-átjáróba vagy biztonsága folyamaihoz, hogy a fejlesztők és a biztonsági csapatok a kód-ágensek veszélyeztetéseivel együtt kezelhetik.

Szabályozhatják saját, belső Ágensek szállítását új szabályokkal

Egyéniesítsék a szabálykészletet, hogy az szabaduljon ki a fenyegetésmodellektől és szabályzatoktól, bizonyosítva, hogy a belső képességek szállítva legyenek a megfelelő biztonsági kódsémák és ágensek alatt.

Előnyök és hátrányok

Előnyök

  • Támogatás és nyílt forrás
  • Lepattanási ágensekhez igazodó fenyegetések célzás
  • SARIF kimenet az exisztens biztonsági eszközökkel kompatibilis
  • Hasznos a CI/CD biztonsági ellenőrzésekben
  • Módosítható a fedezet
  • Kifelé a felszámolja a gyakorlati felállás

Hátrányok

  • Többé vagy többé specifikus műveleti megismerő és CLI-ellenzős késleltetése szükséges
  • A statikus elemzés nem fogná fel az összes futási ágensek
  • A fedezet a közösség által fenntartott szabályokból függ

Értékelések

4.7

Átlag 6 értékelésből.

5
4
4
2
3
0
2
0
1
0

Jelentkezz be értékelés írásához.

F

Fatima Zahra

Mar 22, 2026

Does the job

Pretty happy overall. Extensible rule set just works and sARIF output integrates with existing security tools. Static analysis cannot catch all runtime attacks can be annoying, but no dealbreakers — I'd recommend it to a friend without hesitating.

C

Carlos Mendoza

Mar 5, 2026

Use it every day

Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and free and open source. I do wish static analysis cannot catch all runtime attacks, but I reach for it almost every day now and it just clicks.

M

Mei-Ling Wong

Jan 26, 2026

Use it every day

Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and useful for CI/CD security gates. but I reach for it almost every day now and it just clicks.

R

Robert Ainsworth

Jan 16, 2026

Years in this space

I've evaluated a lot of these over the years. What stands out here is sARIF report output — handled better than most — and free and open source. Worth the time if this is your use case.

Y

Yuki Mori

Aug 16, 2025

Use it every day

Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and targets agent-specific threats like prompt injection. I do wish coverage depends on community-maintained rules, but I reach for it almost every day now and it just clicks.

K

Kwame Mensah

Jul 13, 2025

Solid for our team

We rolled this out across the team last quarter and useful for CI/CD security gates. Data exfiltration heuristics fits neatly into how we already work, and sARIF report output removed a step we used to do by hand. Requires technical setup and CLI familiarity, which is the main caveat, but it has held up under daily use.

Kérdések

How much does Skill Scanner cost and what's the licensing model?

Skill Scanner is free and open source, so there are no licensing fees. You can self-host and run it as part of your own workflows, with the trade-off that you handle setup, maintenance, and any rule customization yourself.

What threats can it detect, and what are its limitations?

It performs static analysis on skill manifests, instructions, and bundled code to flag prompt injection patterns, data exfiltration heuristics, and suspicious code. As a static tool, it can't catch all runtime attacks, and detection quality depends on the community-maintained or custom rule set.

How does Skill Scanner integrate with CI/CD and existing security tooling?

It outputs findings in SARIF, the standard format consumed by tools like GitHub code scanning, security dashboards, and code review workflows. This makes it straightforward to wire into CI/CD pipelines as a security gate alongside other static analysis tools.

Kérdezz

Software Testing (QA) Agents alternatívái