AI Agent 的世界,Skills 是 AI 的手脚,是 AI 能力的延伸,有了众多的 Skills,AI 才能真正从思考走向行动,从对话交互变成可落地,可执行的智能体。
现在网上 Skills 繁杂,在安装 Skills 时,需要有套机制,去检测你想安装的 Skills 是否安全。于是,skill-vetter 就出现了。
当然,这里首要解释清两个概念。
1,Skills 安装: 其实就是将对应的 Skills 文件,下载到对应目录,如过你用的是 Cursor,对应的是 ~/.cursor/skills(Cursor 各个项目都会通用,当然,如果想针对某个项目使用,也可以放在对应项目目录下的.cursor/skills)。SKills 对各个 Agent,都是通用的,如果你用的是 openclaw,就丢到 ~/.openclaw/skills 目录下。
2,skill-vetter:
本身也是个 Skill。vetter 本身就是"核查、评估"的意思。因此,skill-vetter,就是对 Skill 进行核查的一个 Skill。
skill-vetter 地址:
先直接看两个效果示例。
示例效果
1,让 Agent 直接安装新的 Skills
成功触发到 skill-vetter,并输出了详细的报告,最后提示我有中等风险,让我确认是否需要进一步安装。选择是,直接安装完成。
PS:当然,此处只是随便找了个 Skill,做效果演示用的。
2,检查已经安装的 Skills
从调用过程上,也发现直接调用到了 skill-vetter,并做了检查报告输出,最终评估此 Skill 安全可用。
发现了没,使用 skill-vetter 做了检查后,以后再引入新的 Skills,是不是心里会有底很多?
下面,具体来拆解下 skill-vetter。
skill-vetter 拆解
这是 Skill 的基本信息部分:名称,版本,描述,何时使用。
这里需要注意的是,何时使用讲的很清楚,你通过 AI,去安装其他 Skills 时会触发 skill-vetter,去做安全评估。
对应的,需要注意的有两点:
1,如果你通过手动安装,肯定是触发不了的,因为已经完全绕过了。
2,对于已经安装了其他的 Skills(不管是什么安装方式),在使用过程中,是不会触发 skill-vetter 的。当然,如果你主动让 skill-vetter 去评估已安装的 Skill,是完全可以的。
接下来是 协议部分,对应描述的是,让 AI 去按照这个步骤,去一步步执行。
第一步:来源检查
检查 Skill 的来源是否可信,作者是否知名,下载量,更新时间,评价。
第二步:代码审查
逐行阅读 Skill 的所有文件,识别高危行为。包括了发送数据到外部服务,读取 /.ssh、/.config 配置文件,访问访问 MEMORY.md,eval()/exec() 执行外部输入等等。
第三步:权限范围
评估 Skill 到底需要访问哪些文件,执行哪些命令,发出哪些网络请求,判断是否"最小权限原则"。
第四步:风险等级
将风险划分成为了四个等级:
低风险:可直接安装
中风险:完整代码审查后安装
高风险: 需要人工确认后安装
极高风险:不安装。例如,涉及到 root 权限、安全配置。
输出格式
定义了审查报告的输出格式。包含:来源基础信息,红线问题,权限清单,风险等级,以及最终结论。
快速审查命令
这是 skill-vetter 提供的快速审查命令工具箱,用于在 Step 1(来源核查)和 Step 2(代码审查)阶段,通过命令行,快速获取 GitHub 上 Skill 的基本信息。
信任层级
这是一套分级审查强度的标准,来源越可信,审查可以越宽松,但永远不能跳过审查。例如 Star 数高说明有大量用户在用,可信度就比较高,就只需要中等审查强度。
提醒
诊断主要提醒我们,任何 Skill,都需要做好检查,安全场景下,过度谨慎是正确的态度。
skill-vetter = 安装 Skill 前的"安全门卫"。Skills 的权限边界 = Agent 的权限边界。外部 Skill 进来,风险也有可能跟着进来。所以每次从外部引入新 Skill 前,必须先做好安全审查。
切切~