Cuando instalas una skill en Claude Code, Codex CLI o Gemini CLI, ese código corre con los mismos permisos que tienes tú. Acceso al sistema de archivos, variables de entorno, credenciales, claves de API. El modelo de confianza es más parecido al de una extensión de navegador que al de una app sandboxed. Y hasta ahora no había ninguna herramienta pensada específicamente para auditar ese riesgo antes de instalarlo.

NVIDIA ha publicado SkillSpector, un escáner open source que responde exactamente esa pregunta: ¿es segura esta skill antes de instalarla? El repositorio está disponible bajo licencia Apache 2.0.

Qué es una skill para agentes de IA

Una skill es un módulo de capacidad que amplía lo que puede hacer un agente de IA. No es solo un prompt ni una instrucción: puede incluir código ejecutable, scripts Python, llamadas a APIs externas y acceso a herramientas del sistema. Cuando Claude Code, Codex CLI o Gemini CLI instalan una skill, la tratan como una extensión de confianza: le dan acceso implícito a todo lo que el agente puede hacer, que normalmente incluye leer y escribir archivos, ejecutar comandos y acceder a las variables de entorno de tu sistema, donde suelen estar almacenadas las claves de API y credenciales.

El problema es que las skills se distribuyen mayoritariamente como repositorios de GitHub, sin ningún proceso de verificación centralizado. Cualquiera puede publicar una skill, ponerle un nombre útil y esperar a que la gente la instale. El ecosistema se parece más al de las extensiones de navegador en sus primeros años que al de una tienda de apps con revisión.

Por qué existe SkillSpector

La investigación «Agent Skills in the Wild» (Liu et al., 2026) analizó 42.447 skills de los principales marketplaces y encontró que el 26,1% contiene al menos una vulnerabilidad, y el 5,2% muestra intención probablemente maliciosa. Los scripts ejecutables tienen 2,12 veces más probabilidades de ser vulnerables que las skills sin código.

El problema es estructural: cada skill instalada es código de terceros que corre con los permisos completos del agente. Una skill que recopila variables de entorno, abre una conexión de red externa o inyecta instrucciones ocultas en el contexto del agente puede operar en silencio, porque los agentes extienden confianza implícita a sus capacidades instaladas.

Qué detecta

SkillSpector cubre 64 patrones de vulnerabilidad en 16 categorías: inyección de prompt, exfiltración de datos, escalada de privilegios, riesgo en cadena de suministro, ejecución de código peligroso, memoria envenenada, uso indebido de herramientas, comportamiento de agente rogue, abuso de triggers, y riesgos específicos de MCP (mínimo privilegio y envenenamiento de herramientas MCP).

El análisis funciona en dos fases: una estática rápida por defecto, y una segunda opcional con LLM que detecta problemas que requieren comparar el propósito declarado de una skill con su comportamiento real.

Cómo funciona en la práctica

Acepta repositorios de GitHub, URLs, archivos ZIP, carpetas locales y archivos individuales. El resultado es un score de 0 a 100 con etiquetas de severidad y una recomendación clara: Safe, Caution o Do Not Install. También genera consultas en tiempo real contra OSV.dev para detectar dependencias con CVEs conocidas. Los formatos de salida son terminal, JSON, Markdown y SARIF, lo que permite integrarlo en pipelines de CI/CD.

El ejemplo del README

El propio repositorio incluye un ejemplo de skill maliciosa detectada con score 78/100 y recomendación DO NOT INSTALL. El análisis identificó dos problemas críticos: código que recorre todas las variables de entorno buscando API keys y secretos, y una llamada HTTP que envía esa información a un servidor externo. Ninguno de los dos patrones aparecía en la descripción de la skill.