Claude Code용 스킬 보안 검사 도구 소개
이 글은 Claude Code에서 쓰는 SKILL.md 파일을 검사하는 오픈소스 CLI 도구인 skill-firewall을 소개합니다. 이 도구는 악성 지시, 명령어 삽입, 인증 정보 접근 시도를 찾는다고 설명합니다. Claude Code 세션이 시작되기 전에 실행되는 pre-session hook으로 붙일 수 있다고 합니다.
핵심 포인트
- skill-firewall은 AI agent의 SKILL.md 파일을 검사하는 오픈소스 CLI 도구라고 소개됩니다.
- 악성 지시, command injection, credential 접근 시도를 찾는다고 합니다.
- Claude Code의 pre-session hook으로 연결해 세션 시작 전에 검사할 수 있다고 설명합니다.
- 글은 이 문제를 supply-chain attack 방어 관점에서 다룹니다.
용어 한 줄 설명
- SKILL.md
- 프로젝트의 반복 작업 방법·규칙을 마크다운 파일로 정리해 에이전트가 매번 다시 설명 없이 참조할 수 있게 하는 패턴.
- skill
- 반복 업무를 처리하도록 정리한 재사용 가능한 지시나 절차입니다.
- MD 파일
- 마크다운 형식으로 쓴 문서 파일입니다.
- 1인 개발자
- 회사에 소속되지 않고 혼자서 기획부터 제작까지 모든 과정을 책임지는 제작자.
- AI 도구
- 사람의 일을 도와 글, 코드, 이미지 등을 만들어 주는 소프트웨어입니다.
- 스킬 파일
- AI 에이전트가 작업 전에 읽는 지침 파일로, AI의 행동 방식을 미리 정해두는 역할을 합니다.
- AI agent
- 사용자가 매번 시키지 않아도 정해진 일을 계속 살피고 처리하는 AI 기능입니다.
- command injection
- 원래 의도하지 않은 명령어를 끼워 넣어 실행하게 만드는 공격입니다.