Habilidades de los Agentes en Entornos Reales: Un Estudio Empírico de Vulnerabilidades de Seguridad a Gran Escala
Agent Skills in the Wild: An Empirical Study of Security Vulnerabilities at Scale
January 15, 2026
Autores: Yi Liu, Weizhe Wang, Ruitao Feng, Yao Zhang, Guangquan Xu, Gelei Deng, Yuekang Li, Leo Zhang
cs.AI
Resumen
El auge de los marcos de trabajo de agentes de IA ha introducido las *skills* o capacidades de agente, paquetes modulares que contienen instrucciones y código ejecutable para extender dinámicamente las capacidades de los agentes. Si bien esta arquitectura permite una potente personalización, las *skills* se ejecutan con confianza implícita y una verificación mínima, creando una superficie de ataque significativa pero aún no caracterizada. Realizamos el primer análisis empírico de seguridad a gran escala de este ecosistema emergente, recopilando 42.447 *skills* de dos mercados principales y analizando sistemáticamente 31.132 utilizando SkillScan, un marco de detección multietapa que integra análisis estático con clasificación semántica basada en LLM. Nuestros hallazgos revelan riesgos de seguridad generalizados: el 26,1% de las *skills* contienen al menos una vulnerabilidad, que abarca 14 patrones distintos en cuatro categorías: inyección de *prompts*, exfiltración de datos, escalada de privilegios y riesgos de la cadena de suministro. La exfiltración de datos (13,3%) y la escalada de privilegios (11,8%) son las más prevalentes, mientras que el 5,2% de las *skills* exhiben patrones de alta severidad que sugieren fuertemente intenciones maliciosas. Encontramos que las *skills* que agrupan scripts ejecutables tienen 2,12 veces más probabilidades de contener vulnerabilidades que las *skills* que solo contienen instrucciones (OR=2,12, p<0,001). Nuestras contribuciones incluyen: (1) una taxonomía de vulnerabilidades fundamentada, derivada de 8.126 *skills* vulnerables, (2) una metodología de detección validada que alcanza un 86,7% de precisión y un 82,5% de exhaustividad, y (3) un conjunto de datos abierto y un kit de herramientas de detección para apoyar la investigación futura. Estos resultados demuestran la necesidad urgente de sistemas de permisos basados en capacidades y una verificación de seguridad obligatoria antes de que este vector de ataque sea explotado aún más.
English
The rise of AI agent frameworks has introduced agent skills, modular packages containing instructions and executable code that dynamically extend agent capabilities. While this architecture enables powerful customization, skills execute with implicit trust and minimal vetting, creating a significant yet uncharacterized attack surface. We conduct the first large-scale empirical security analysis of this emerging ecosystem, collecting 42,447 skills from two major marketplaces and systematically analyzing 31,132 using SkillScan, a multi-stage detection framework integrating static analysis with LLM-based semantic classification. Our findings reveal pervasive security risks: 26.1% of skills contain at least one vulnerability, spanning 14 distinct patterns across four categories: prompt injection, data exfiltration, privilege escalation, and supply chain risks. Data exfiltration (13.3%) and privilege escalation (11.8%) are most prevalent, while 5.2% of skills exhibit high-severity patterns strongly suggesting malicious intent. We find that skills bundling executable scripts are 2.12x more likely to contain vulnerabilities than instruction-only skills (OR=2.12, p<0.001). Our contributions include: (1) a grounded vulnerability taxonomy derived from 8,126 vulnerable skills, (2) a validated detection methodology achieving 86.7% precision and 82.5% recall, and (3) an open dataset and detection toolkit to support future research. These results demonstrate an urgent need for capability-based permission systems and mandatory security vetting before this attack vector is further exploited.