Skill 보안을 '악성코드 탐지'에서 '능력 감사'로
악의 여부뿐 아니라, 활성화된 Skill이 Agent에 부여하는 승인이 필요한 능력을 가려낸다. CleanSource skills v2 감사 엔진 탑재.
완전히 투명하고 선언한 대로 동작하는 Skill이라도 기밀을 외부로 전송하고, 기업 API 키로 제3자에 도달하며, 시스템에 쓸 수 있다. 악의는 없다——그럼에도 기업의 어드미션 경계를 넘을 수 있다
'악의가 있는가'에서 '활성화되면 무엇을 얻고, 어디에 도달하며, 무엇을 바꾸는가'로.
이분법적 안전/악성이 아니라 block / need_review / pass——정당하지만 고영향인 것과 확인된 악성을 구분.
입력 가시성, 명령·런타임 실행, Agent 권한·아이덴티티, 데이터·메모리, 자산 비용·실세계 행동, 악용 회피, 공급망 생태계를 망라.
키워드로 차단하지 않음——언급 수준부터 명령과 설정, 실행 가능한 체인, 런타임 지속성까지 증거 강도로 등급화.
빌드 파일, 나아가 자연어 설치 의도에서 의존성 후보를 추출해 버전 단위로 오염 인텔리전스와 대조.
모든 판정이 SKILL.md 행까지 특정한 증거와 처분을 동반——감사·검토 가능하며 키워드 일치=판정이 아님.
3단계 판정을 CI/CD와 Skill 마켓플레이스 심사에 내장하고 JSON을 SCA/SBOM, IAM/DLP, SIEM/SOAR, 티켓팅으로 출력.
Skill의 매니페스트와 구현을 파싱해 그 진짜 능력 경계——파일, 네트워크, 셸 실행, 시크릿 접근——를 복원하고 고위험 능력을 표시.
SKILL.md와 구현에서 실제 권한을 추출.
선언을 넘어선 숨겨진 능력을 탐지.
셸 실행, 시크릿 읽기 등을 우선 경고.
의존성 출처와 명명 특징을 대조해 위장 패키지(typosquat), 탈취된 버전, 악성 주입을 식별——매칭되면 즉시 차단·경고.
유사 명명의 typosquat 패키지를 포착.
게시자와 버전 무결성을 검증.
매칭되는 순간 경고하고 도입을 차단.
Skills-for-Skills 접근으로 감사 플로 자체를 동적으로 로드·확장 가능하게.
베이스라인 정적 스캔으로 명백히 악성인 샘플을 배제——기존 SAST/SCA가 이미 커버하는 부분.
SKILL.md 자연어 설명과 실제 코드 동작을 대조해 말과 행동의 불일치를 포착.
구조화 태그와 증거 등급으로 단일 Skill을 평가하고 다중 Skill 협업에서 생기는 공격 체인을 탐지.