야생 환경에서의 에이전트 기술: 대규모 보안 취약점에 대한 실증적 연구
Agent Skills in the Wild: An Empirical Study of Security Vulnerabilities at Scale
January 15, 2026
저자: Yi Liu, Weizhe Wang, Ruitao Feng, Yao Zhang, Guangquan Xu, Gelei Deng, Yuekang Li, Leo Zhang
cs.AI
초록
AI 에이전트 프레임워크의 부상과 함께 에이전트 스킬이 등장했습니다. 스킬은 지시문과 실행 코드를 포함하는 모듈형 패키지로, 에이전트의 역동적인 역량 확장을 가능하게 합니다. 이러한 아키텍처는 강력한 맞춤화를 제공하지만, 스킬은 최소한의 검증을 거쳐 암묵적인 신뢰 하에 실행되므로, 중요하지만 아직 규명되지 않은 공격 표면을 생성합니다. 본 연구는 이 신생 생태계에 대한 최초의 대규모 실증적 보안 분석을 수행합니다. 두 주요 마켓플레이스에서 42,447개의 스킬을 수집하고, 정적 분석과 LLM 기반 의미론적 분류를 결합한 다단계 탐지 프레임워크인 SkillScan을 통해 31,132개를 체계적으로 분석했습니다. 연구 결과는 광범위한 보안 위험을 보여줍니다: 전체 스킬의 26.1%가 하나 이상의 취약점을 포함하며, 이는 프롬프트 인젝션, 데이터 유출, 권한 상승, 공급망 위험이라는 4개 범주의 14가지 유형에 걸쳐 있습니다. 데이터 유출(13.3%)과 권한 상승(11.8%)이 가장 흔했으며, 전체 스킬의 5.2%는 악의적 의도를 강력하게 시사하는 고위험 유형을 나타냈습니다. 또한, 실행 가능한 스크립트를 번들링하는 스킬은 지시문만 포함하는 스킬보다 취약점을 포함할 가능성이 2.12배 더 높았습니다(OR=2.12, p<0.001). 본 연구의 기여점은 다음과 같습니다: (1) 8,126개의 취약한 스킬로부터 도출된 근거 기반 취약점 분류 체계, (2) 86.7%의 정밀도와 82.5%의 재현율을 달성한 검증된 탐지 방법론, (3) 향후 연구를 지원하기 위한 공개 데이터셋 및 탐지 도구 키트. 이러한 결과는 이 공격 벡터가 본격적으로 악용되기 전에 역량 기반 권한 시스템과 의무적인 보안 검토가 시급히 필요함을 보여줍니다.
English
The rise of AI agent frameworks has introduced agent skills, modular packages containing instructions and executable code that dynamically extend agent capabilities. While this architecture enables powerful customization, skills execute with implicit trust and minimal vetting, creating a significant yet uncharacterized attack surface. We conduct the first large-scale empirical security analysis of this emerging ecosystem, collecting 42,447 skills from two major marketplaces and systematically analyzing 31,132 using SkillScan, a multi-stage detection framework integrating static analysis with LLM-based semantic classification. Our findings reveal pervasive security risks: 26.1% of skills contain at least one vulnerability, spanning 14 distinct patterns across four categories: prompt injection, data exfiltration, privilege escalation, and supply chain risks. Data exfiltration (13.3%) and privilege escalation (11.8%) are most prevalent, while 5.2% of skills exhibit high-severity patterns strongly suggesting malicious intent. We find that skills bundling executable scripts are 2.12x more likely to contain vulnerabilities than instruction-only skills (OR=2.12, p<0.001). Our contributions include: (1) a grounded vulnerability taxonomy derived from 8,126 vulnerable skills, (2) a validated detection methodology achieving 86.7% precision and 82.5% recall, and (3) an open dataset and detection toolkit to support future research. These results demonstrate an urgent need for capability-based permission systems and mandatory security vetting before this attack vector is further exploited.