这不是又一个花里胡梢的AI器用,而是一个AI Agent手段安全扫描器。
英伟达作念这个干嘛?因为他们发现了一件让东谈主头皮发麻的事:在GitHub上公开的AI Agent手段中,26.1%存在安全瑕玷,5.2%含有坏情意图。
我扫了一下我正大在用的几个Agent手段包,效果——嗯,后背发凉。
AI Agent的"安卓期间",来了又有点不合
当今AI圈最火的见解是什么?Agent手段。
浅显说,便是给AI编程助手(Claude Code、Cursor、Copilot这些)装"插件"。你装个代码审查手段,它就会帮你review;装个部署手段,它就能帮你上线。
跟往时安卓手机装APP一模一样。
addyosmani/agent-skills 33000星、phuryn/pm-skills 居品司理手段、obra/superpowers 78000星……手段商场爆发式增长,每天刷GitHub皆能看到新的手段包。
然则,你装过安卓APP吧?还铭刻那些要了一堆权限、后台暗暗跑流量的APP吗?
AI Agent手段也有一样的问题。况且更遮盖。
英伟达发现了一个"黑洞"
SkillSpector能检测64种瑕玷样式和坏心代码。英伟达用它扫了一圈GitHub上的手段包,效果摄人心魄:
26.1%的手段存在安全瑕玷——比如不安全的文献操作、敕令注入、敏锐信息袒露
5.2%的手段含有坏情意图——比如暗暗读取你的SSH密钥、把你的代码发送到外部行状器、在后台实践未声明的敕令
5.2%听起来未几?那意味着你每装20个手段,就有1个是来"偷家"的。
更可怕的是,这些坏心手段的包装跟频频手段险些一模一样。你从GitHub上clone下来,读一遍README认为挺好,装上之后AI Agent就用着你的权限在后台暗暗干活了。
你的代码仓库、SSH密钥、API Token、数据库密码——AI Agent皆能看望,装了一个坏心手段,就等于把你家的钥匙给了一个生疏东谈主。
为什么这件事这样困难?
我不是在贩卖惊恐。我念念说的是:AI Agent的安全问题,依然不是"畴昔要磋商的事",而是"当今就该作念的事"。
念念念念看:
你让Claude Code帮你改代码,龙虎棋牌2026最新版下载它有权限读写你的文献系统
你让Cursor帮你重构,它有权限实践结尾敕令
你给AI Agent装的每一个手段,皆接受了这些权限
当AI Agent的才气越来越强,安全就成了地基。地基不牢,楼盖再高也倏地。
英伟达在这个时候推出SkillSpector,作念了一件相配真的的事:不是告诉你"别用",而是帮你"查一查再装"。
这就像手机上的安全卫士——不是让你不装APP,而是让你装得更省心。
加拿大PC中国官网入口我当今的作念法
说几点我的实质操作,供参考:
装置任何AI Agent手段之前,先用SkillSpector扫一遍。一条敕令的事,不费时候。
只装真实需要的手段。手段不是越多越好,每个手段皆是袭击面。
平和手段的开头。优先用官方或高星神气,少用不闻明开发者的未审核手段。
按时查抄已装置的手段。安全是动态的,今天没问题的手段,未来更新后可能就有问题了。
AI Agent期间的安全意志,就像出动互联网期间养成的不乱点纠合的民俗一样困难。 越早开荒,越早受益。
英伟达作念了第一步,接下来需要通盘这个词社区沿途把安全生态建起来。这事儿急不得,但必须有东谈主作念。
《免责声明:以上内容基于公开报谈整理,老练个东谈主不雅察与不雅点。行业在变龙虎棋牌app官网版,冗忙致富的逻辑不变。》
备案号: