La seguridad en los agentes de IA acaba de dar un paso importante. NVIDIA publicó SkillSpector, una herramienta de código abierto diseñada para analizar Agent Skills antes de instalarlas o ejecutarlas.
El problema es claro: cada vez más agentes de IA usan “skills” para ampliar sus capacidades, pero esas skills pueden incluir instrucciones ocultas, dependencias inseguras, scripts peligrosos o comportamientos que intenten filtrar información sensible.
Ahí entra SkillSpector.
Según el repositorio oficial, la herramienta permite escanear repositorios Git, URLs, archivos ZIP, directorios o archivos individuales, y puede detectar 64 patrones de vulnerabilidad agrupados en 16 categorías, incluyendo prompt injection, exfiltración de datos, escalamiento de privilegios, supply chain, memory poisoning, tool misuse, MCP tool poisoning y código peligroso.
NVIDIA también explica en su documentación que SkillSpector está pensado para revisar skills antes de su instalación, buscando riesgos como instrucciones maliciosas, fuga de datos, dependencias vulnerables y comportamientos peligrosos dentro de agentes de IA.
La jugada es importante porque las Agent Skills ya no son simples prompts: pueden funcionar como capacidades ejecutables dentro de un agente. NVIDIA incluso indica que, dentro de su ecosistema de skills verificadas, SkillSpector forma parte del proceso de validación antes de publicar una skill en su catálogo.
El proyecto ya está disponible en GitHub:
https://github.com/NVIDIA/SkillSpector
En pocas palabras: si estás creando agentes con IA, usando skills externas o probando integraciones con herramientas como Claude Code, Codex, Gemini CLI, Cursor u otros entornos agentic, SkillSpector puede convertirse en una capa extra de seguridad antes de confiar en cualquier skill descargada de internet.
La IA ya no solo necesita ser potente. Ahora también necesita ser segura.
.png)
.png)
.png)
.png)
.png)
