AI エージェント（自分で判断して作業するAI）向けのスキル（拡張機能）に組み込まれた悪意あるコードを事前に検出するセキュリティスキャナー SkillsGuard が公開されました。

何が起きたか：SkillsGuard は、AI エージェント用のスキルパッケージに含まれる悪意あるファイルやスクリプトを、実行前に静的に検査するツールです。Base64やHex形式でエンコードされた隠蔽されたコードも再帰的にデコードして検査し、151個の検出ルールを備えています。

なぜ重要か：AI エージェント向けのスキルはまだ多くが未検査の新しい攻撃対象とみられます。SkillsGuard は Node.js ≥18.3 さえあれば、アカウントもAPIキーもLLMも必要なく動作する点が他のスキャナと異なり、CI パイプラインやプリコミットフック（コミット前の自動検査）として確実に運用できます。

注目点：同じ検査対象向けに NVIDIA、Cisco、Snyk、Mondoo が既にスキャナをリリース済みです。SkillsGuard は依存ライブラリがゼロで最もシンプルに導入できる反面、NVIDIA SkillSpector のような LLM による意図レベルの分析には対応していません。