Skill のセキュリティを「マルウェア検知」から「能力監査」へ
悪意の有無だけでなく、有効化された Skill が Agent に与える、承認すべき能力を見極める。CleanSource skills v2 監査エンジンを搭載。
完全に透明で、宣言どおりに動作する Skill であっても、機密を外部に送信し、企業の API キーで第三者に到達し、システムに書き込むことがある。悪意はない——それでも企業のアドミッション境界を越えうる
「悪意があるか」から「有効化されたら何を得て、どこに到達し、何を変えるか」へ。
二択の安全/悪意ではなく、block / need_review / pass——正当だが高影響なものと、確認された悪意とを切り分け。
入力の可視性、命令・実行時の実行、Agent の権限・アイデンティティ、データ・メモリ、資産コスト・実世界アクション、不正回避、サプライチェーン・エコシステムを網羅。
キーワードでブロックしない——言及レベルから、コマンドと設定、実行可能な連鎖、実行時の永続化まで、証拠の強度で格付け。
ビルドファイル、さらには自然言語のインストール意図から依存候補を抽出し、バージョン単位で汚染インテリジェンスと照合。
すべての判定が SKILL.md の行まで特定した証拠と処置を伴う——監査・レビュー可能で、キーワード一致=判定にはしない。
3 段階判定を CI/CD と Skill マーケットプレイスの審査に組み込み、JSON を SCA/SBOM、IAM/DLP、SIEM/SOAR、チケッティングへ出力。
Skill のマニフェストと実装を解析し、その真の能力境界——ファイル、ネットワーク、シェル実行、シークレットアクセス——を復元し、高リスク能力を標記。
SKILL.md と実装から実際の権限を抽出。
宣言を超えた隠れた能力を検出。
シェル実行やシークレット読み取りなどを優先警告。
依存の出所と命名の特徴を照合し、偽装パッケージ(typosquat)、乗っ取られたバージョン、悪意ある注入を識別——ヒットすれば即ブロック・警告。
類似命名の typosquat パッケージを捕捉。
公開者とバージョンの完全性を検証。
ヒットした瞬間に警告し導入を阻止。
Skills-for-Skills のアプローチで、監査フロー自体を動的にロード・拡張可能に。
ベースラインの静的スキャンで明らかに悪意あるサンプルを除外——従来の SAST/SCA が既にカバーする部分。
SKILL.md の自然言語記述と実際のコード挙動を突き合わせ、言行不一致を検出。
構造化タグと証拠格付けで単一 Skill を評価し、複数 Skill の連携から生じる攻撃連鎖を検出。