AgentPantheon
Skill Scanner logo

Skill ScannerScanner de sécurité open-source qui audit les compétences d'agents AI pour les injecteurs de prompt et les modèles malveillants.

4.7 (6)
Daniel NikulshynÉvalué par Daniel Nikulshyn·Mis à jour mai 2026

Aperçu

Skill Scanner est un outil d'analyse statique open-source conçu pour inspecter les compétences et les plugins d'agents IA à la recherche de risques de sécurité avant leur déploiement. Il analyse les manifestes de compétences, les instructions et le code regroupé à la recherche de signes d'injection de prompts, de tentatives de fuite de données cachées et de modèles de code suspects susceptibles de compromettre un agent ou ses utilisateurs. Les résultats sont émis au format SARIF, ce qui permet d'intégrer facilement les résultats dans les pipelines CI, les flux de travail de révision de code ou les tableaux de bord de sécurité comme la numérisation de code GitHub. Les développeurs et les équipes de sécurité peuvent l'utiliser pour vérifier les compétences tierces, renforcer les leurs et appliquer des vérifications de base à l'échelle d'un écosystème d'agents. Puisque le projet est open source, les règles et les détecteurs peuvent être étendus ou personnalisés pour s'adapter aux modèles de menaces et aux politiques spécifiques à l'organisation.

Fonctionnalités clés

  • Détection des modèles d'injection de prompt 
  • Détection heuristique d'exfiltration de données
  • Détection de modèles de code malveillants
  • Sortie de rapport SARIF
  • Intégration dans les pipelines CI/CD
  • Ensemble de règles extensible

Tarifs

Modèle
Freemium
Note
4.7 / 5 (6)

Cas d’usage

Évaluer les compétences de fournisseurs tiers avant leur déploiement

Scan les compétences externes et les plugins pour détecter les modèles d'injection de prompt et le code suspect avant de les ajouter à votre agent AI, réduisant le risque de compromission des intégrations.

Imposer les portes de sécurité dans les pipelines CI/CD

Intégrer Skill Scanner dans les pipelines de construction à l'aide de son output SARIF pour bloquer automatiquement les requêtes de fusion qui introduisent des manifestes de compétences ou des instructions risqués.

Faire apparaître les résultats dans le code de GitHub scanning

Conduisez les rapports SARIF dans GitHub Code Scanning ou les panneaux de sécurité pour que les équipes de sécurité et les développeurs puissent trier les vulnérabilités des compétences d'agents en même temps que les autres problèmes de code.

Harcèlement des compétences en maison avec des règles personnalisées

Étendez l'ensemble de règles pour correspondre aux modèles de menaces spécifiques à l'organisation, en s'assurant que les compétences internes bâties répondent aux contrôles de ligne basique pour l'exfiltration de données et les modèles de code malveillants.

Pour & contre

Pour

  • Gratuit et open-source
  • Cible les menaces spécifiques aux agents comme l'injection de prompt
  • L'output SARIF s'intègre avec les outils de sécurité existants
  • Utile pour les portes de sécurité dans les CI/CD
  • Règles de détection customisables

Contre

  • Réquiert une configuration technique et une familiarisation avec la ligne de commande
  • L'analyse statique ne peut pas capturer toutes les attaques en phase d'exécution
  • Couverture dépendante des règles maintenues par la communauté

Avis

4.7

Moyenne sur 6 avis.

5
4
4
2
3
0
2
0
1
0

Connecte-toi pour laisser un avis.

F

Fatima Zahra

Mar 22, 2026

Does the job

Pretty happy overall. Extensible rule set just works and sARIF output integrates with existing security tools. Static analysis cannot catch all runtime attacks can be annoying, but no dealbreakers — I'd recommend it to a friend without hesitating.

C

Carlos Mendoza

Mar 5, 2026

Use it every day

Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and free and open source. I do wish static analysis cannot catch all runtime attacks, but I reach for it almost every day now and it just clicks.

M

Mei-Ling Wong

Jan 26, 2026

Use it every day

Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and useful for CI/CD security gates. but I reach for it almost every day now and it just clicks.

R

Robert Ainsworth

Jan 16, 2026

Years in this space

I've evaluated a lot of these over the years. What stands out here is sARIF report output — handled better than most — and free and open source. Worth the time if this is your use case.

Y

Yuki Mori

Aug 16, 2025

Use it every day

Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and targets agent-specific threats like prompt injection. I do wish coverage depends on community-maintained rules, but I reach for it almost every day now and it just clicks.

K

Kwame Mensah

Jul 13, 2025

Solid for our team

We rolled this out across the team last quarter and useful for CI/CD security gates. Data exfiltration heuristics fits neatly into how we already work, and sARIF report output removed a step we used to do by hand. Requires technical setup and CLI familiarity, which is the main caveat, but it has held up under daily use.

Questions & réponses

How much does Skill Scanner cost and what's the licensing model?

Skill Scanner is free and open source, so there are no licensing fees. You can self-host and run it as part of your own workflows, with the trade-off that you handle setup, maintenance, and any rule customization yourself.

What threats can it detect, and what are its limitations?

It performs static analysis on skill manifests, instructions, and bundled code to flag prompt injection patterns, data exfiltration heuristics, and suspicious code. As a static tool, it can't catch all runtime attacks, and detection quality depends on the community-maintained or custom rule set.

How does Skill Scanner integrate with CI/CD and existing security tooling?

It outputs findings in SARIF, the standard format consumed by tools like GitHub code scanning, security dashboards, and code review workflows. This makes it straightforward to wire into CI/CD pipelines as a security gate alongside other static analysis tools.

Poser une question

Alternatives à Software Testing (QA) Agents