야생 환경에서의 에이전트 기술: 대규모 보안 취약점에 대한 실증적 연구

Agent Skills in the Wild: An Empirical Study of Security Vulnerabilities at Scale

AI 에이전트 프레임워크의 발전으로 인해 에이전트 기술이 등장했으며, 이는 에이전트의 기능을 동적으로 확장하는 명령어와 실행 가능한 코드를 포함하는 모듈화된 패키지입니다. 이러한 아키텍처는 강력한 사용자 정의를 가능하게 하지만, 기술은 암묵적인 신뢰 하에 실행되며 최소한의 검증을 거치기 때문에 상당한 공격 표면을 형성합니다. 우리는 이 새롭게 떠오르는 생태계에 대한 최초의 대규모 실증적 보안 분석을 수행했습니다. 두 주요 마켓플레이스에서 42,447개의 기술을 수집하고, SkillScan이라는 다단계 탐지 프레임워크를 사용하여 31,132개의 기술을 체계적으로 분석했습니다. SkillScan은 정적 분석과 LLM 기반의 의미론적 분류를 통합합니다. 우리의 연구 결과는 광범위한 보안 위험을 보여줍니다. 26.1%의 기술이 최소 하나의 취약점을 포함하며, 이는 프롬프트 주입, 데이터 유출, 권한 상승 및 공급망 위험의 네 가지 범주에 속하는 14가지 다양한 패턴으로 나타납니다. 데이터 유출(13.3%)과 권한 상승(11.8%)이 가장 흔하며, 5.2%의 기술은 심각한 수준의 패턴을 보여주며 악의적인 의도를 강하게 시사합니다. 실행 가능한 스크립트를 포함하는 기술은 명령어만 포함하는 기술보다 취약점을 포함할 확률이 2.12배 더 높습니다(OR=2.12, p<0.001). 우리의 주요 기여는 다음과 같습니다. (1) 8,126개의 취약한 기술로부터 도출된 취약점 분류 체계, (2) 86.7%의 정밀도와 82.5%의 재현율을 달성한 검증된 탐지 방법론, (3) 향후 연구를 지원하기 위한 공개 데이터셋 및 탐지 도구입니다. 이러한 결과는 이 공격 경로가 더 이상 악용되지 않도록 능력 기반의 권한 시스템과 의무적인 보안 검증의 필요성을 시급하게 강조합니다.

The rise of AI agent frameworks has introduced agent skills, modular packages containing instructions and executable code that dynamically extend agent capabilities. While this architecture enables powerful customization, skills execute with implicit trust and minimal vetting, creating a significant yet uncharacterized attack surface. We conduct the first large-scale empirical security analysis of this emerging ecosystem, collecting 42,447 skills from two major marketplaces and systematically analyzing 31,132 using SkillScan, a multi-stage detection framework integrating static analysis with LLM-based semantic classification. Our findings reveal pervasive security risks: 26.1% of skills contain at least one vulnerability, spanning 14 distinct patterns across four categories: prompt injection, data exfiltration, privilege escalation, and supply chain risks. Data exfiltration (13.3%) and privilege escalation (11.8%) are most prevalent, while 5.2% of skills exhibit high-severity patterns strongly suggesting malicious intent. We find that skills bundling executable scripts are 2.12x more likely to contain vulnerabilities than instruction-only skills (OR=2.12, p<0.001). Our contributions include: (1) a grounded vulnerability taxonomy derived from 8,126 vulnerable skills, (2) a validated detection methodology achieving 86.7% precision and 82.5% recall, and (3) an open dataset and detection toolkit to support future research. These results demonstrate an urgent need for capability-based permission systems and mandatory security vetting before this attack vector is further exploited.