Context Studios
Retour au Blog
Sécurité IAAgents IASécurité supply chain
Par Michael Kerkhoff, Founder & CEO

Auditer les compétences d'agents IA avant le désastre

Une compétence d'agent IA sur quatre comporte une faille. NVIDIA publie SkillSpector en open source — auditez-la avant l'installation.

Auditer les compétences d'agents IA avant le désastre

Chaque compétence d'agent que vous installez est du code tiers qui s'exécute avec l'ensemble des autorisations de votre agent. Une nouvelle étude a passé au crible des dizaines de milliers de ces paquets : près d'une compétence sur quatre comporte une faille de sécurité, et une part mesurable est conçue pour dérober des données. Avant d'ajouter une nouvelle compétence à Claude Code, à Codex ou à Gemini CLI, il vous faut un moyen de la vérifier.

C'est précisément cette faille que NVIDIA entend combler. Fin mai 2026, l'entreprise a publié SkillSpector en open source : un analyseur sous licence Apache 2.0 qui inspecte les compétences d'agent à la recherche de vulnérabilités et de comportements malveillants, avant même qu'elles n'atteignent votre environnement (NVIDIA/SkillSpector). Cet article présente la menace, l'outil et une routine de contrôle préalable à l'installation que vous pouvez mettre en place dès ce trimestre.

Pourquoi les compétences relèvent d'un risque de chaîne d'approvisionnement

Une compétence d'agent est un paquet modulaire d'instructions et de code exécutable qui étend ce que peut faire un agent. Comme les compétences s'exécutent avec une confiance implicite et un contrôle minimal, chacune de celles que vous installez revient à du code tiers non vérifié tournant avec les droits de votre agent.

Tout le risque tient à cette conception. Snyk l'a démontré : une compétence malveillante peut accéder à un shell par le seul biais d'instructions en markdown et de quelques lignes de script joint (Snyk : From SKILL.md to Shell Access). Le modèle des compétences ressemble davantage à une extension de navigateur qu'à un bac à sable isolé : il hérite de votre accès aux fichiers, de vos variables d'environnement et de vos clés d'API.

L'attaque est rarement bruyante. Une compétence peut faire exactement ce que sa description promet, comme mettre en forme un fichier, interroger une interface ou résumer un document, pendant qu'une instruction dissimulée lit en même temps votre fichier .env et l'envoie vers un point de terminaison externe. Puisque l'agent exécute la compétence avec vos identifiants en cours, aucune confirmation distincte n'apparaît et rien n'échoue visiblement. Le premier signe est souvent une clé exfiltrée, pas une panne. Ce déséquilibre rend la vérification préalable à l'installation incontournable : repérer tôt une compétence malveillante vous coûte une analyse, la manquer vous coûte vos secrets.

L'ampleur du phénomène ressort de la première étude à grande échelle de cet écosystème, « Agent Skills in the Wild ». Les chercheurs ont rassemblé 42 447 compétences provenant de deux grandes places de marché et en ont analysé 31 132 : 26,1 % contenaient au moins une vulnérabilité, et les compétences accompagnées d'un script exécutable se révélaient 2,12 fois plus vulnérables que celles réduites à des instructions (arXiv 2601.10338). C'est la même défaillance structurelle qui a marqué les débuts de npm et de PyPI : un écosystème de paquets en forte croissance, sans vérification obligatoire. Nous avons déjà expliqué comment se déplacent les frontières de confiance entre plusieurs agents dès lors que vous déléguez de l'autorité ; les compétences installées posent le même problème, vu du côté de l'approvisionnement.

Ce que montrent réellement les données

D'une étude indépendante à l'autre, entre un quart et un tiers des compétences d'agent présentent des défauts de sécurité, et une fraction réduite mais bien réelle est franchement malveillante. L'exfiltration de données et l'élévation de privilèges sont les schémas les plus fréquents.

Les chiffres concordent d'une équipe de recherche à l'autre :

  • Dans le jeu de données « Agent Skills in the Wild », l'exfiltration de données apparaissait dans 13,3 % des compétences et l'élévation de privilèges dans 11,8 % ; pour 5,2 % d'entre elles, des schémas très critiques suggéraient fortement une intention malveillante (arXiv 2601.10338).
  • Un audit distinct de Snyk portant sur 3 984 compétences, l'étude « ToxicSkills », a relevé de l'injection d'invite dans 36 % d'entre elles et 1 467 charges malveillantes, dont des chevaux de Troie, des cryptomineurs et des outils de vol d'identifiants (Snyk : ToxicSkills).
  • Une seconde analyse universitaire de ces mêmes 3 984 compétences a confirmé 76 charges malveillantes vérifiées à la main et constaté que 13,4 % comportaient au moins un problème de niveau critique ; plusieurs compétences malveillantes restaient téléchargeables publiquement au moment de l'étude (arXiv 2605.28588).

La typologie de « Agent Skills in the Wild », tirée de 8 126 compétences vulnérables, répartit les menaces en quatre familles : injection d'invite, exfiltration de données, élévation de privilèges et risque de chaîne d'approvisionnement (arXiv 2601.10338). Toute vérification doit couvrir ces quatre fronts. La méthode de détection à l'origine de ces chiffres atteignait 86,7 % de précision et 82,5 % de rappel : les taux annoncés relèvent donc d'une mesure prudente plutôt que d'une estimation vague, et l'exposition réelle a peu de chances d'être moindre (arXiv 2601.10338).

Ce que vérifie concrètement NVIDIA SkillSpector

SkillSpector est un analyseur de sécurité sous licence Apache 2.0 qui inspecte les compétences d'agent à l'aide de 64 schémas de vulnérabilité répartis en 16 catégories. Il combine une analyse statique rapide et une passe sémantique facultative confiée à un modèle de langage, puis renvoie un score de risque de 0 à 100.

L'outil fonctionne en deux temps. La première étape est l'analyse statique : reconnaissance de schémas et inspection de l'arbre syntaxique à travers 64 contrôles couvrant l'injection d'invite, l'exfiltration de données, le vol d'identifiants, l'élévation de privilèges, le risque de chaîne d'approvisionnement, l'autonomie excessive, l'empoisonnement de la mémoire, le détournement d'outils et l'empoisonnement des outils MCP. La seconde étape, facultative, est une passe sémantique confiée à un modèle de langage, qui saisit la logique échappant aux règles statiques (NVIDIA/SkillSpector).

Il est pensé pour s'insérer dans un flux de travail réel : il accepte un dépôt Git, une URL, une archive zip, un répertoire ou un simple fichier, renvoie un score de risque de 0 à 100 assorti de niveaux de gravité, et exporte du SARIF pour que les résultats aboutissent dans vos tableaux de bord de sécurité existants (OWASP Agentic Skills Top 10). Le projet OWASP consacré aux compétences d'agent le recense désormais parmi les analyseurs recommandés, une validation externe appréciable pour un outil vieux de quelques semaines à peine. Comme chaque compétence installée est du code tiers doté des droits de votre agent, un verrou posé avant l'installation reste le levier le plus efficace que vous puissiez ajouter (AI Insiders).

Une méthode de contrôle des compétences avant déploiement

Pour vérifier les compétences d'agent en toute sûreté : analysez chaque compétence avant l'installation, faites échouer votre chaîne d'intégration sur les scores à haut risque, limitez les droits de chaque compétence au strict nécessaire et relancez l'analyse à chaque mise à jour.

Voici la routine que nous recommandons à toute équipe exploitant des agents de codage en production :

  1. Analysez avant d'installer, pas après. Pointez un analyseur comme SkillSpector vers le dépôt ou le fichier de la compétence et lisez le score de risque avant qu'elle n'atteigne le poste d'un développeur. Traitez une compétence non analysée comme un binaire non signé.
  2. Faites de l'analyse un verrou bloquant dans la CI. Reliez la sortie SARIF à votre chaîne et faites échouer la compilation au-delà d'un seuil de risque que vous fixez. Une analyse qui ne tourne qu'à la main se voit ignorée le jour où quelqu'un est pressé. C'est la discipline que nous appliquons avec un cadre de sécurité pour la revue de code assistée par IA.
  3. Restreignez les droits au strict nécessaire. Un analyseur vous dit ce qu'une compétence pourrait faire ; les règles d'autorisation décident de ce qu'elle a le droit de faire. Les versions récentes des agents permettent de restreindre les outils au moment de l'appel, par exemple bloquer un modèle précis ou définir quels outils une compétence peut solliciter, ce qui complète directement l'analyse préalable à l'installation.
  4. Relancez l'analyse à chaque changement de version. Une compétence saine en version 1.2 peut embarquer un voleur d'identifiants en version 1.3. Les attaques de chaîne d'approvisionnement se logent dans les mises à jour : figez donc les versions et réauditez chaque modification, plutôt que de vous fier à un feu vert unique.
  5. Tenez une liste blanche revue. Maintenez une courte liste des compétences que votre équipe a auditées et approuvées, et faites passer toute nouveauté par le même verrou. Le principe reflète notre façon de traiter nos propres compétences Claude : d'abord la structure et la revue, ensuite la mise à l'échelle.

Les deux étapes les plus utiles sont aussi les moins coûteuses. Analyser avant d'installer prend quelques secondes par compétence, et le signal le plus net de l'étude, à savoir que les compétences accompagnées d'un script exécutable sont 2,12 fois plus vulnérables, fournit une règle de tri simple : les compétences réduites à des instructions présentent moins de risque, tout ce qui embarque un script mérite un examen plus attentif (arXiv 2601.10338). La plupart des équipes négligent ces deux gestes parce que rien n'a encore cassé. Les places de marché qui s'y sont brûlées raisonnent autrement, et c'est pourquoi l'analyse avant soumission devient la norme plutôt qu'un agrément.

Cette démarche s'inscrit dans le renforcement plus large déjà engagé au sein des environnements d'exécution des agents. La semaine même où SkillSpector est paru, le reste de la chaîne d'outils resserrait les autorisations au niveau de l'appel et les frontières de confiance, une orientation que nous avons traitée dans notre analyse sur l'exploitation des agents de codage en toute sécurité.

Un score au vert ne vaut pas immunité

Aucun analyseur de compétences n'est infaillible. Des chercheurs en sécurité ont déjà montré que les analyseurs actuels de compétences d'agent peuvent être contournés : une analyse propre devrait réduire le risque, non clore le débat.

La Cloud Security Alliance a publié une note de recherche établissant que plusieurs analyseurs de compétences, commerciaux comme open source, peuvent être contournés sur toute la ligne (note de recherche de la CSA). Les places de marché y répondent en empilant les défenses : ClawHub analyse désormais automatiquement chaque soumission, et l'AI Defense de Cisco fournit un analyseur de compétences open source fondé sur YAML et YARA. Mais une détection en couches n'équivaut pas à l'immunité.

L'enseignement pratique tient en une formule : la défense en profondeur. Servez-vous d'un analyseur pour filtrer les menaces évidentes, limitez les droits afin qu'une menace passée entre les mailles ne cause que des dégâts restreints, surveillez en cours d'exécution ce à quoi vos agents accèdent réellement, et gardez un humain dans la boucle pour tout ce qui touche aux identifiants ou aux données de production. Un analyseur est le premier verrou, pas le dernier mot. Pour l'exposition au niveau du protocole, notre décryptage du changement de protocole de MCP v2 montre où s'orientent les standards.

FAQ

Qu'est-ce qu'une compétence d'agent IA, et pourquoi représente-t-elle un risque de sécurité ? Une compétence d'agent est un paquet modulaire d'instructions et de code exécutable qui étend les capacités d'un agent. Elle constitue un risque parce que les compétences s'exécutent avec une confiance implicite et l'ensemble des droits de l'agent : une compétence malveillante peut ainsi lire des fichiers, voler des identifiants ou exfiltrer des données (arXiv 2601.10338).

Combien de compétences d'agent sont réellement vulnérables ? Dans la plus vaste étude à ce jour, 26,1 % des compétences analysées contenaient au moins une vulnérabilité et 5,2 % laissaient deviner une intention malveillante (arXiv 2601.10338). Un audit distinct de Snyk a relevé de l'injection d'invite dans 36 % de 3 984 compétences et 1 467 charges malveillantes (Snyk : ToxicSkills).

Que fait NVIDIA SkillSpector ? SkillSpector est un analyseur open source sous licence Apache 2.0 qui confronte les compétences d'agent à 64 schémas de vulnérabilité répartis en 16 catégories. Il combine analyse statique et passe sémantique facultative par modèle de langage, et renvoie un score de risque de 0 à 100 assorti d'une sortie SARIF pour la CI (NVIDIA/SkillSpector).

Une analyse propre suffit-elle à faire confiance à une compétence ? Non. Des chercheurs ont montré que les analyseurs de compétences actuels peuvent être contournés ; un score propre doit donc s'accompagner de droits minimaux, d'une surveillance en cours d'exécution et d'une revue humaine pour tout élément sensible (note de recherche de la CSA).

Conclusion

Les compétences d'agent ont offert aux équipes un moyen rapide d'étendre les capacités de leurs agents, et tout aussi rapide d'introduire du code non vérifié en production. La recherche est sans ambiguïté : un quart des compétences comporte des défauts, et une petite part a été transformée en arme. Un analyseur gratuit et open source comme SkillSpector, intégré en verrou bloquant avant l'installation et associé à une attribution minimale des droits, fait passer ce risque de l'invisible au maîtrisable. Si vous souhaitez de l'aide pour intégrer un verrou d'audit des compétences à votre chaîne d'agents, échangez avec Context Studios : sécuriser les environnements d'agents est notre métier.

Sources

  1. Agent Skills in the Wild: An Empirical Study of Security Vulnerabilities at Scale — https://arxiv.org/abs/2601.10338
  2. Snyk, étude ToxicSkills — https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub
  3. NVIDIA/SkillSpector (GitHub) — https://github.com/NVIDIA/SkillSpector
  4. OWASP Agentic Skills Top 10, Skill Scanner Integration — https://owasp.org/www-project-agentic-skills-top-10/skill-scanner-integration
  5. Cloud Security Alliance, note de recherche sur le contournement des analyseurs de compétences — https://labs.cloudsecurityalliance.org/research/csa-research-note-ai-agent-skill-scanner-bypass-20260610-csa
  6. Snyk, From SKILL.md to Shell Access in Three Lines of Markdown — https://snyk.io/articles/skill-md-shell-access
  7. Exploring the Emerging Threats of the Agent Skill Ecosystem — https://arxiv.org/html/2605.28588v1
  8. AI Insiders, NVIDIA ships open-source scanner for agent skill supply-chain risk — https://aiinsiders.net/article/nvidia-ships-open-source-scanner-for-agent-skill-supply

Partager l'article

Share: