
Skill ScannerOtwartoźródłowy skaner bezpieczeństwa, który audytuje umiejętności agentów AI pod kątem wstrzykiwania promptów i szkodliwych wzorców.
Przegląd
Kluczowe funkcje
- Wykrywanie wzorców wstrzykiwania promptów
- Heurystyki wykrywania wycieków danych
- Skanowanie wzorców szkodliwego kodu
- Wyjście raportu w formacie SARIF
- Integracja z potokami CI/CD
- Rozszerzalny zestaw reguł
Cennik
- Model
- Freemium
- Kategoria
- Software Testing (QA) Agents
- Ocena
- 4.7 / 5 (6)
Zastosowania
Weryfikacja umiejętności agentów firm trzecich przed wdrożeniem
Skanuj zewnętrzne umiejętności i wtyczki w poszukiwaniu wzorców wstrzykiwania promptów oraz podejrzanego kodu przed dodaniem ich do swojego agenta AI, zmniejszając ryzyko uszkodzonych integracji.
Egzekwuj bramy bezpieczeństwa w CI/CD
Integruj Skill Scanner z potokami budowania, wykorzystując jego raport w formacie SARIF, aby automatycznie blokować żądania pull, które wprowadzają ryzykowne manifesty umiejętności lub instrukcje.
Pokazuj wyniki w skanowaniu kodu GitHub
Przekieruj raporty SARIF do skanowania kodu GitHub lub pulpitów bezpieczeństwa, aby programiści i zespoły bezpieczeństwa mogły ocenić podatności umiejętności agenta obok innych problemów z kodem.
Wzmocnij wewnętrzne umiejętności za pomocą własnych reguł
Rozszerz zestaw reguł, aby dopasować go do modeli zagrożeń konkretnej organizacji i upewnij się, że wewnętrznie budowane umiejętności agenta spełniają bazowe kontrole wycieków danych i szkodliwych wzorców.
Plusy i minusy
Plusy
- Darmowy i otwartoźródłowy
- Skoncentrowany na zagrożeniach specyficznych dla agentów, takich jak wstrzykiwanie promptów
- Wyniki w formacie SARIF integrują się z istniejącymi narzędziami bezpieczeństwa
- Przydatny jako bramy bezpieczeństwa w CI/CD
- Dostosowywalne reguły wykrywania
Minusy
- Wymaga konfiguracji technicznej i znajomości interfejsu CLI
- Analiza statyczna nie wykrywa wszystkich ataków w czasie wykonywania
- Zakres zależy od reguł utrzymywanych przez społeczność
Recenzje
Średnia z 6 ocen.
Zaloguj się, aby zostawić recenzję.
Does the job
Pretty happy overall. Extensible rule set just works and sARIF output integrates with existing security tools. Static analysis cannot catch all runtime attacks can be annoying, but no dealbreakers — I'd recommend it to a friend without hesitating.
Use it every day
Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and free and open source. I do wish static analysis cannot catch all runtime attacks, but I reach for it almost every day now and it just clicks.
Use it every day
Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and useful for CI/CD security gates. but I reach for it almost every day now and it just clicks.
Years in this space
I've evaluated a lot of these over the years. What stands out here is sARIF report output — handled better than most — and free and open source. Worth the time if this is your use case.
Use it every day
Honestly didn't expect to like it this much. SARIF report output is exactly what I needed, and targets agent-specific threats like prompt injection. I do wish coverage depends on community-maintained rules, but I reach for it almost every day now and it just clicks.
Solid for our team
We rolled this out across the team last quarter and useful for CI/CD security gates. Data exfiltration heuristics fits neatly into how we already work, and sARIF report output removed a step we used to do by hand. Requires technical setup and CLI familiarity, which is the main caveat, but it has held up under daily use.
Pytania i odpowiedzi
How much does Skill Scanner cost and what's the licensing model?
Skill Scanner is free and open source, so there are no licensing fees. You can self-host and run it as part of your own workflows, with the trade-off that you handle setup, maintenance, and any rule customization yourself.
What threats can it detect, and what are its limitations?
It performs static analysis on skill manifests, instructions, and bundled code to flag prompt injection patterns, data exfiltration heuristics, and suspicious code. As a static tool, it can't catch all runtime attacks, and detection quality depends on the community-maintained or custom rule set.
How does Skill Scanner integrate with CI/CD and existing security tooling?
It outputs findings in SARIF, the standard format consumed by tools like GitHub code scanning, security dashboards, and code review workflows. This makes it straightforward to wire into CI/CD pipelines as a security gate alongside other static analysis tools.
Zadaj pytanie
Alternatywy dla Software Testing (QA) Agents
CarbonCopies AI
Software Testing (QA) Agents
Dwójki AI naśladują interakcje użytkownika, aby przeprowadzać automatyczne testy UX/funkcjonalne i wykrywać błędy w aplikacjach/stronach internetowych.
Diffblue Cover
Software Testing (QA) Agents
Autonomiczny agent AI, który generuje i utrzymuje testy jednostkowe Java w dużej skali z gwarantowaną dokładnością.
PentAGI
Software Testing (QA) Agents
Otwarty, autonomiczny agent testowania penetracyjnego, który uruchamia ponad 20 narzędzi bezpieczeństwa w odizolowanym środowisku Docker z pamięcią i inteligencją webową.
Flowtest AI
Software Testing (QA) Agents
Agent AI, który monitoruje strony internetowe, symulując rzeczywiste interakcje użytkowników, aby wykrywać problemy i zapewniać dostępność.
Keploy
Software Testing (QA) Agents
Open-source'owy agent AI, który automatycznie generuje i utrzymuje jednostkowe, integracyjne i API testy z mockami.
Trending now
Doozer Ai
Sales Agent
Cyfrowi współpracownicy, którzy automatyzują operacyjne przepływy pracy, zwiększając wydajność zespołu.
Claude
AI Agents & Chatbots
Konwersyjny asystent AI od Anthropic do pisania, analizy, kodowania i pracy z dokumentami
Consistent Character AI
Images
Generuj spójne postaci AI na różnych scenach z jednego zdjęcia referencyjnego.
Mistral AI
Large Language Models (LLMs)
Modele na granicy








