AgentPantheon
Skill Scanner logo

Skill ScannerOtevřený zdroj bezpečnostní skener, který prověřuje umělé agenty pro vstřikování promptů a podrážděné vzory.

4.7 (6)
Daniel NikulshynRecenzováno Daniel Nikulshyn·Aktualizováno květen 2026

Přehled

Skill Scanner je open-source nástroj pro statickou analýzu vytvořený k inspekci dovedností a pluginů AI agentů z hlediska bezpečnostních rizik před jejich nasazením. Skenuje manifestační soubory dovedností, instrukce a přibalený kód pro známky vkládání výzev, skrytých pokusů o exfiltraci dat a podezřelých vzorů kódu, které by mohly ohrozit agenta nebo jeho uživatele. Výsledky jsou vydávány ve formátu SARIF, což umožňuje snadno integrovat nálezy do CI pipelineů, pracovních postupů kontroly kódu nebo bezpečnostních dashboardů, jako je například GitHub code scanning. Vývojáři a bezpečnostní týmy jej mohou použít k prověření dovedností třetích stran, posílení vlastních dovedností a vynucení základních kontrol v celém ekosystému agentů. Protože je projekt open source, pravidla a detektory lze rozšířit nebo přizpůsobit tak, aby vyhovovaly specifickým modelům hrozeb a zásadám organizace.

Klíčové funkce

  • Detection vzoru vstřikování promptů
  • Heuristiky úniku dat
  • Štíhlý skánování kódových vzorů
  • Výstup zprávy SARIF
  • Integrace CI/CD pipeline
  • Prodloužitelný soubor pravidel

Ceník

Model
Freemium
Hodnocení
4.7 / 5 (6)

Případy užití

Provést třetí strany agenta před nasazením

Scannnout externí skilly a pluginy pro vzory vstřikování promptů a podezřelé kódové před přidáním je k vašemu umělému agentovi, čímž se zmenší riziko narušených integračních prvků.

Dodatečná bezpečnostní brána v CI/CD

Integrujte Skill Scanner do toků budování používáním jeho výstupu SARIF automaticky blokovat požádání o stažení, které přinášejí škodlivé prvky, jako jsou manifestovací listiny nebo instrukce agenta skillu.

Zobrazit nalezení ve GitHub code scanning

Proudě výstupu SARIF přeložit do GitHub code scanning nebo bezpečnostních obrazovek tak, aby vývojáři a týmy pro bezpečnost mohli třídit agenta skills vady vedle jiných problémů s kódem.

Skládat vnitřní prvky s pravidly specifickými pro organizaci

Rozšířit pravidelný seznam na shodu se specifickými pro organizaci ohroženími, zajistit, aby vnitřně budované prvek agenta splňovaly základními kontrolami úniku dat a podezřelých vzorů v kódu.

Pro a proti

Pro

  • Gratis a otevřený zdroj
  • Cílí na agenta zaměřující se na specifické ohrožení jako je vstřikování promptů
  • Output SARIF integruje se stávajícími bezpečnostními nástroji
  • Používá se pro bezpečnostní brány CI/CD
  • Detekční pravidla jsou přizpůsobitelná

Proti

  • Požaduje technický nastavení a povědomí o rozhraní příkazového řádku
  • Statická analýza nezachycuje všechny útoky za běhu
  • Zajímá se o závislost na pravidlech udržované komunitou

Recenze

4.7

Průměr z 6 hodnocení.

5
4
4
2
3
0
2
0
1
0

Přihlas se, abys mohl napsat recenzi.

F

Fatima Zahra

Mar 22, 2026

Does the job

Pretty happy overall. Extensible rule set just works and sARIF output integrates with existing security tools. Static analysis cannot catch all runtime attacks can be annoying, but no dealbreakers — I'd recommend it to a friend without hesitating.

C

Carlos Mendoza

Mar 5, 2026

Use it every day

Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and free and open source. I do wish static analysis cannot catch all runtime attacks, but I reach for it almost every day now and it just clicks.

M

Mei-Ling Wong

Jan 26, 2026

Use it every day

Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and useful for CI/CD security gates. but I reach for it almost every day now and it just clicks.

R

Robert Ainsworth

Jan 16, 2026

Years in this space

I've evaluated a lot of these over the years. What stands out here is sARIF report output — handled better than most — and free and open source. Worth the time if this is your use case.

Y

Yuki Mori

Aug 16, 2025

Use it every day

Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and targets agent-specific threats like prompt injection. I do wish coverage depends on community-maintained rules, but I reach for it almost every day now and it just clicks.

K

Kwame Mensah

Jul 13, 2025

Solid for our team

We rolled this out across the team last quarter and useful for CI/CD security gates. Data exfiltration heuristics fits neatly into how we already work, and sARIF report output removed a step we used to do by hand. Requires technical setup and CLI familiarity, which is the main caveat, but it has held up under daily use.

Otázky

How much does Skill Scanner cost and what's the licensing model?

Skill Scanner is free and open source, so there are no licensing fees. You can self-host and run it as part of your own workflows, with the trade-off that you handle setup, maintenance, and any rule customization yourself.

What threats can it detect, and what are its limitations?

It performs static analysis on skill manifests, instructions, and bundled code to flag prompt injection patterns, data exfiltration heuristics, and suspicious code. As a static tool, it can't catch all runtime attacks, and detection quality depends on the community-maintained or custom rule set.

How does Skill Scanner integrate with CI/CD and existing security tooling?

It outputs findings in SARIF, the standard format consumed by tools like GitHub code scanning, security dashboards, and code review workflows. This makes it straightforward to wire into CI/CD pipelines as a security gate alongside other static analysis tools.

Polož otázku

Alternativy k Software Testing (QA) Agents