KI-Agenten-Skills prüfen, bevor sie Ihren Stack ruinieren

Jeder Agent-Skill, den Sie installieren, ist fremder Code, der mit den vollen Berechtigungen Ihres Agenten läuft. Eine neue Untersuchung hat Zehntausende dieser Pakete geprüft und festgestellt: Rund jeder vierte Skill trägt eine Sicherheitslücke in sich, und ein messbarer Teil ist gezielt darauf ausgelegt, Daten zu stehlen. Bevor Sie den nächsten Skill in Claude Code, Codex oder Gemini CLI einbinden, brauchen Sie ein Verfahren, um ihn zu überprüfen.

Genau diese Lücke will NVIDIA nun schließen. Ende Mai 2026 veröffentlichte das Unternehmen SkillSpector als Open Source: einen Scanner unter Apache-2.0-Lizenz, der Agent-Skills auf Schwachstellen und schädliche Muster prüft, bevor sie überhaupt in Ihre Umgebung gelangen (NVIDIA/SkillSpector). Dieser Beitrag erklärt die Gefahr, das Werkzeug und eine Prüfroutine vor der Installation, die Sie noch in diesem Quartal etablieren können.

Warum Skills ein Lieferkettenrisiko sind und keine Bequemlichkeit

Genau in dieser Bauweise liegt das Risiko. Snyk hat gezeigt, dass ein bösartiger Skill allein über Anweisungen in Markdown und ein paar Zeilen mitgelieferten Skripts bis zur Shell durchgreifen kann (Snyk: From SKILL.md to Shell Access). Das Skill-Modell ähnelt eher einer Browser-Erweiterung als einer abgeschotteten Sandbox: Es erbt Ihren Dateizugriff, Ihre Umgebungsvariablen und Ihre API-Schlüssel.

Der Angriff läuft selten laut ab. Ein Skill tut womöglich genau das, was seine Beschreibung verspricht, etwa eine Datei formatieren, eine Schnittstelle abfragen oder ein Dokument zusammenfassen, während eine versteckte Anweisung zugleich Ihre .env-Datei ausliest und an einen externen Endpunkt schickt. Da der Agent den Skill mit Ihren bestehenden Zugangsdaten ausführt, erscheint keine gesonderte Rückfrage und nichts schlägt sichtbar fehl. Das erste Anzeichen ist oft ein abgeflossener Schlüssel, kein Absturz. Diese Schieflage macht eine Prüfung vor der Installation unverzichtbar: Ein bösartiger Skill kostet Sie einen Scan, wenn Sie ihn früh fangen, und Ihre Geheimnisse, wenn Sie ihn übersehen.

Wie groß das Problem ist, macht die erste großangelegte Studie zu diesem Ökosystem deutlich, „Agent Skills in the Wild". Die Forschenden sammelten 42.447 Skills aus zwei großen Marktplätzen und analysierten 31.132 davon. Das Ergebnis: 26,1 % enthielten mindestens eine Schwachstelle, und Skills mit mitgeliefertem Skript waren 2,12-mal anfälliger als reine Anweisungs-Skills (arXiv 2601.10338). Es ist dasselbe strukturelle Versagen, das schon die frühen Tage von npm und PyPI prägte: ein schnell wachsendes Paket-Ökosystem ohne verpflichtende Prüfung. Wie sich Vertrauensgrenzen zwischen mehreren Agenten verschieben, sobald Sie Befugnisse abgeben, haben wir bereits beschrieben; installierte Skills sind dasselbe Problem von der Lieferseite her.

Was die Daten tatsächlich zeigen

Die Zahlen decken sich über verschiedene Forschungsteams hinweg:

• Im Datensatz von „Agent Skills in the Wild" trat Datenabfluss bei 13,3 % der Skills auf, Rechteausweitung bei 11,8 %; bei 5,2 % deuteten hochgradig kritische Muster stark auf böswillige Absicht hin (arXiv 2601.10338).
• Eine eigenständige Prüfung von Snyk über 3.984 Skills, die „ToxicSkills"-Studie, fand bei 36 % Prompt Injection und insgesamt 1.467 schädliche Nutzlasten, darunter Trojaner, Cryptominer und Werkzeuge zum Abgreifen von Zugangsdaten (Snyk: ToxicSkills).
• Eine zweite wissenschaftliche Auswertung derselben 3.984 Skills bestätigte 76 manuell verifizierte schädliche Nutzlasten und stellte fest, dass 13,4 % mindestens ein kritisches Problem aufwiesen; mehrere bösartige Skills waren zum Zeitpunkt der Untersuchung weiterhin öffentlich abrufbar (arXiv 2605.28588).

Die aus 8.126 verwundbaren Skills abgeleitete Systematik von „Agent Skills in the Wild" ordnet die Gefahren vier Gruppen zu: Prompt Injection, Datenabfluss, Rechteausweitung und Lieferkettenrisiko (arXiv 2601.10338). Diese Felder muss jede Prüfung abdecken. Die zugrunde liegende Erkennung erreichte 86,7 % Genauigkeit und 82,5 % Trefferquote, weshalb die genannten Raten eher vorsichtig gemessen als grob geschätzt sind; die tatsächliche Gefährdung dürfte kaum geringer ausfallen (arXiv 2601.10338).

Was NVIDIA SkillSpector konkret prüft

Das Werkzeug arbeitet zweistufig. In der ersten Stufe läuft die statische Analyse: Mustererkennung und Prüfung des Syntaxbaums über 64 Kontrollen hinweg, die Prompt Injection, Datenabfluss, Diebstahl von Zugangsdaten, Rechteausweitung, Lieferkettenrisiko, übermäßige Handlungsvollmacht, das Vergiften des Gedächtnisses, Werkzeugmissbrauch und MCP-Tool-Poisoning umfassen. In der zweiten Stufe folgt ein optionaler semantischer Durchgang per Sprachmodell, der Logik erfasst, die statischen Regeln entgeht (NVIDIA/SkillSpector).

Der Scanner ist für den echten Arbeitsalltag gebaut: Er verarbeitet ein Git-Repository, eine URL, eine Zip-Datei, ein Verzeichnis oder eine einzelne Datei, gibt einen Risikowert von 0 bis 100 mit Einstufungen zurück und exportiert SARIF, sodass die Ergebnisse in Ihren vorhandenen Sicherheits-Dashboards landen (OWASP Agentic Skills Top 10). Das OWASP-Projekt zu Agentic Skills führt ihn inzwischen als empfohlenen Scanner, was für ein erst wenige Wochen altes Werkzeug eine hilfreiche externe Bestätigung ist. Da jeder installierte Skill Fremdcode mit den Rechten Ihres Agenten ist, ist eine Sperre vor der Installation der wirksamste einzelne Hebel, den Sie ergänzen können (AI Insiders).

Ein Prüfablauf für Skills vor dem Einsatz

Diesen Ablauf empfehlen wir jedem Team, das Coding-Agenten produktiv einsetzt:

1. Scannen Sie vor der Installation, nicht danach. Richten Sie einen Scanner wie SkillSpector auf das Repository oder die Datei des Skills und lesen Sie den Risikowert, bevor er einen Entwicklerrechner erreicht. Behandeln Sie ungeprüfte Skills so wie unsignierte Programme.
2. Machen Sie den Scan zur blockierenden Stufe in der CI. Leiten Sie die SARIF-Ausgabe in Ihre Pipeline und lassen Sie den Build oberhalb eines selbst gesetzten Schwellenwerts fehlschlagen. Ein Scan, der nur von Hand läuft, wird an dem Tag übersprungen, an dem es jemand eilig hat. Dieselbe Disziplin verfolgen wir mit einem Sicherheitsrahmen für die KI-gestützte Code-Prüfung.
3. Beschränken Sie die Rechte auf das Nötigste. Ein Scanner sagt Ihnen, was ein Skill tun könnte; Berechtigungsregeln entscheiden, was er tun darf. Aktuelle Agentenversionen erlauben es, Werkzeuge beim Aufruf einzuschränken, etwa ein bestimmtes Modell zu sperren oder festzulegen, welche Werkzeuge ein Skill aufrufen darf, was sich direkt mit dem Scan vor der Installation ergänzt.
4. Scannen Sie bei jedem Versionssprung erneut. Ein Skill, der in Version 1.2 sauber war, kann in Version 1.3 ein Werkzeug zum Abgreifen von Zugangsdaten mitbringen. Angriffe über die Lieferkette stecken in Aktualisierungen; pinnen Sie deshalb Versionen fest und prüfen Sie jede Änderung neu, statt sich auf eine einmalige Freigabe zu verlassen.
5. Pflegen Sie eine geprüfte Freigabeliste. Führen Sie eine kurze Liste der Skills, die Ihr Team geprüft und freigegeben hat, und schicken Sie alles Neue durch dieselbe Stufe. Das Prinzip entspricht unserem Umgang mit eigenen Claude-Skills: erst Struktur und Prüfung, dann Skalierung.

Die beiden wertvollsten Schritte sind zugleich die günstigsten. Ein Scan vor der Installation kostet Sekunden pro Skill, und das klarste Signal der Studie, dass Skills mit mitgeliefertem Skript 2,12-mal anfälliger sind, liefert eine einfache Faustregel: Reine Anweisungs-Skills bergen weniger Risiko, alles mit Skript verdient einen genaueren Blick (arXiv 2601.10338). Die meisten Teams überspringen beides, weil noch nichts schiefgegangen ist. Marktplätze, die bereits Schaden erlitten haben, sehen das anders, und genau deshalb wird das Scannen vor der Einreichung zum Standard statt zur Kür.

Das fügt sich in die breitere Absicherung, die in Agenten-Laufzeiten ohnehin im Gange ist. In derselben Woche, in der SkillSpector erschien, verschärfte der übrige Werkzeugkasten die Berechtigungen auf Aufrufebene und die Vertrauensgrenzen, eine Richtung, die wir in unserem Beitrag zum sicheren Betrieb von Coding-Agenten behandelt haben.

Ein grüner Wert bedeutet keine Sicherheit

Die Cloud Security Alliance hat in einem Forschungsbericht dargelegt, dass sich mehrere kommerzielle und quelloffene Skill-Scanner durchgängig umgehen lassen (CSA-Forschungsbericht). Die Marktplätze reagieren mit zusätzlichen Schutzschichten: ClawHub prüft inzwischen jede Einreichung automatisch, und Ciscos AI Defense liefert einen quelloffenen Skill-Scanner auf Basis von YAML und YARA. Doch geschichtete Erkennung ist nicht dasselbe wie Unangreifbarkeit.

Die praktische Lehre lautet: Sicherheit in mehreren Schichten. Filtern Sie mit einem Scanner die offensichtlichen Gefahren, beschränken Sie die Rechte so, dass eine übersehene Bedrohung nur begrenzten Schaden anrichten kann, beobachten Sie zur Laufzeit, worauf Ihre Agenten tatsächlich zugreifen, und behalten Sie für alles, was Zugangsdaten oder Produktivdaten berührt, einen Menschen in der Schleife. Ein Scanner ist die erste Schranke, nicht das letzte Wort. Wohin sich die Standards auf Protokollebene bewegen, zeigt unsere Analyse zum Protokollwechsel von MCP v2.

FAQ

Was ist ein KI-Agent-Skill, und warum ist er ein Sicherheitsrisiko? Ein Agent-Skill ist ein modulares Paket aus Anweisungen und ausführbarem Code, das die Fähigkeiten eines Agenten erweitert. Zum Risiko wird er, weil Skills mit implizitem Vertrauen und den vollen Rechten des Agenten laufen; ein bösartiger Skill kann so Dateien lesen, Zugangsdaten stehlen oder Daten abfließen lassen (arXiv 2601.10338).

Wie viele Agent-Skills sind tatsächlich verwundbar? In der bislang größten Studie enthielten 26,1 % der analysierten Skills mindestens eine Schwachstelle, und 5,2 % zeigten wahrscheinlich böswillige Absicht (arXiv 2601.10338). Eine eigenständige Snyk-Prüfung fand bei 36 % von 3.984 Skills Prompt Injection und 1.467 schädliche Nutzlasten (Snyk: ToxicSkills).

Was leistet NVIDIA SkillSpector? SkillSpector ist ein quelloffener Scanner unter Apache-2.0-Lizenz, der Agent-Skills gegen 64 Schwachstellenmuster in 16 Kategorien prüft. Er verbindet statische Analyse mit einem optionalen semantischen Durchgang per Sprachmodell und liefert einen Risikowert von 0 bis 100 samt SARIF-Ausgabe für die CI (NVIDIA/SkillSpector).

Reicht ein sauberer Scan aus, um einem Skill zu vertrauen? Nein. Forschende haben gezeigt, dass sich heutige Skill-Scanner umgehen lassen; ein sauberer Wert sollte daher mit minimalen Rechten, Beobachtung zur Laufzeit und menschlicher Prüfung bei allem Sensiblen kombiniert werden (CSA-Forschungsbericht).

Fazit

Agent-Skills gaben Teams einen schnellen Weg, die Fähigkeiten ihrer Agenten zu erweitern, und zugleich einen schnellen Weg, ungeprüften Code in den Produktivbetrieb zu holen. Die Forschung ist eindeutig: Ein Viertel der Skills trägt Mängel, und ein kleiner Teil ist zur Waffe gemacht. Ein kostenloser, quelloffener Scanner wie SkillSpector, eingebunden als blockierende Sperre vor der Installation und ergänzt um minimale Rechtevergabe, verwandelt dieses unsichtbare Risiko in ein beherrschbares. Wenn Sie Hilfe dabei brauchen, eine Skill-Prüfung in Ihre Agenten-Pipeline einzubauen, sprechen Sie mit Context Studios: Das Absichern von Agenten-Umgebungen ist unser Geschäft.

Quellen

1. Agent Skills in the Wild: An Empirical Study of Security Vulnerabilities at Scale — https://arxiv.org/abs/2601.10338
2. Snyk, ToxicSkills-Studie — https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub
3. NVIDIA/SkillSpector (GitHub) — https://github.com/NVIDIA/SkillSpector
4. OWASP Agentic Skills Top 10, Skill Scanner Integration — https://owasp.org/www-project-agentic-skills-top-10/skill-scanner-integration
5. Cloud Security Alliance, Forschungsbericht zum Umgehen von Skill-Scannern — https://labs.cloudsecurityalliance.org/research/csa-research-note-ai-agent-skill-scanner-bypass-20260610-csa
6. Snyk, From SKILL.md to Shell Access in Three Lines of Markdown — https://snyk.io/articles/skill-md-shell-access
7. Exploring the Emerging Threats of the Agent Skill Ecosystem — https://arxiv.org/html/2605.28588v1
8. AI Insiders, NVIDIA ships open-source scanner for agent skill supply-chain risk — https://aiinsiders.net/article/nvidia-ships-open-source-scanner-for-agent-skill-supply