NVIDIA vil skanne AI-agenters ferdigheter før installasjon

NVIDIA har lagt ut SkillSpector som åpen kildekode. Verktøyet er laget for å skanne såkalte skills før de installeres i AI-agenter som Claude Code, Codex CLI og Gemini CLI.

Det høres smalt ut. Det er det ikke. Skills er i praksis små utvidelser som kan gi en agent nye kommandoer, arbeidsflyter, filer, regler eller tilgang til eksterne verktøy. Når virksomheter begynner å standardisere agentoppsett, blir slike pakker en ny form for programvareforsyningskjede. De kan se ufarlige ut, men likevel gi agenten for mye handlingsrom, lekke data, overstyre systeminstrukser eller koble seg til tjenester på måter sikkerhetsteamet ikke har godkjent.

NVIDIA beskriver SkillSpector som en skanner for sårbarheter, ondsinnede mønstre og sikkerhetsrisiko i AI-agent-skills. README-en peker på 64 mønstertyper fordelt på 16 kategorier. Listen dekker blant annet prompt injection, dataeksfiltrering, privilege escalation, supply chain-risiko, system prompt leakage, memory poisoning, tool misuse, rogue agents, trigger abuse, YARA-signaturer, MCP least privilege og MCP tool poisoning. Verktøyet kan skanne lokale mapper, enkeltfiler, zip-filer, URL-er og Git-repositorier. Det kan også gi funn som terminaloutput, JSON, Markdown og SARIF.

NVIDIA oppgir i dokumentasjonen at forskning viser at 26,1 prosent av skills inneholder sårbarheter, og at 5,2 prosent viser sannsynlig ondsinnet hensikt. Slike tall bør leses som kontekst fra leverandøren, ikke som en fasit for hele markedet. Men retningen er viktig: agentøkosystemet har fått sin egen variant av npm-problemet. Det blir enkelt å dele og installere nyttige byggeklosser. Dermed blir det også enkelt å distribuere risiko.

Nytt kontrollpunkt i agentdrift

De fleste virksomheter har begynt med AI-sikkerhet i tre lag: modellvalg, datatilgang og brukerpolicy. Det holder ikke når agentene får egne verktøy. En agent som kan lese repoer, skrive filer, kjøre terminalkommandoer, kalle MCP-servere og hente hemmeligheter fra miljøet, må styres som en teknisk identitet. Da blir installerte skills en del av endringskontrollen.

SkillSpector er interessant fordi det flytter kontrollen nærmere der agenten faktisk utvides. Spørsmålet er ikke bare om modellen er trygg. Spørsmålet er hva agenten blir instruert til å gjøre når en tredjeparts-skill får plass i konteksten eller verktøykjeden. En tilsynelatende praktisk skill kan be agenten lese filer utenfor arbeidsområdet, sende innhold til en ekstern URL, endre sikkerhetsinnstillinger eller skjule instruksjoner i dokumentasjon.

Dette er samme mønster som tradisjonell supply chain-sikkerhet, men med en vridning: agenten tolker tekst som instruksjoner. Derfor kan risiko ligge både i kode og i beskrivelser, README-filer, promptmaler og metadata. Statisk kodeanalyse alene fanger ikke alt. SkillSpector kombinerer derfor statisk analyse med valgfri LLM-basert semantisk vurdering. Det er fornuftig, men det betyr også at funnene må inn i en vanlig risikoprosess, ikke behandles som automatisk dom.

Hva norske CIO-er og CISO-er bør ta ut av dette

Første konsekvens er enkel: agent-skills bør behandles som programvarepakker. De må ha eier, kilde, versjon, lisens, risikovurdering og godkjenningsløp. Det er ikke nok at en utvikler finner noe nyttig på GitHub og legger det i agentens konfigurasjon.

Andre konsekvens er at MCP og agentverktøy må inn i IAM- og loggingmodellen. Hvis en skill gir agenten tilgang til interne API-er, databaser eller scripts, bør det finnes sporbarhet på hvem som installerte den, hvilken agent som brukte den, hvilke rettigheter den krevde, og hvilke kall den faktisk utløste.

Tredje konsekvens er at virksomheter bør bygge en intern allowlist. Ikke alle teams trenger fri tilgang til å installere nye agentutvidelser. For produksjonsnære miljøer bør standarden være signerte eller låste skills fra godkjente kilder, med kontrollert oppdatering og skanning før bruk.

Det er også en ledervinkel her. Agentprogrammer feiler ofte ikke fordi modellen er for svak. De feiler fordi styringen rundt agenten er for løs. Når agenten får nye ferdigheter gjennom små, tekst- og kodebaserte pakker, flytter en del av risikoen ut av den store modellanskaffelsen og inn i hverdagslige utvikler- og driftsteam. Det er der policyene må virke.

SkillSpector er ikke et komplett svar. Det er et tegn på at agentdrift modnes. Markedet begynner å få sikkerhetsverktøy for komponentene rundt modellen. For virksomheter som allerede tester agentbasert kode, analyse, drift eller kundeservice, er det riktig tidspunkt å lage en enkel regel: ingen tredjeparts-skill i en arbeidsagent uten skanning, vurdering og logging.

Kilder og medier

Primærkilde: NVIDIA GitHub, https://github.com/NVIDIA/SkillSpector

Kildekreditering: NVIDIA GitHub er brukt som primærkilde for funksjoner, lisens, bruksområde og oppdateringsstatus. GitHub API ble brukt til å verifisere at repositoriet er offentlig, Apache-2.0-lisensiert og nylig oppdatert.

Thumbnail: OpenAI Image 2 / hogby.ai