skill은 그냥 Markdown 문서처럼 보인다. 그런데 agent 입장에서는 다르다. 언제 tool을 쓸지, 무엇을 먼저 확인할지, 어떤 보고를 pass라고 말할지까지 바꾼다. 외부 skill을 그대로 가져오는 일은 문서를 복사하는 일이 아니라 행동 규칙을 들여오는 일이다.
그래서 OkayJing에서는 외부 skill, MCP/tool package, agent repo를 supply-chain artifact로 본다. 읽는 것과 설치하는 것, 참고하는 것과 흡수하는 것은 다르다.
외부 skill은 처음엔 evidence다. authority가 아니다. 좋은 repo에서 왔더라도 prompt injection, obfuscation, remote execution, secret exposure, persistence mutation 같은 위험을 봐야 한다.
SkillSpector 점수도 자동 판결은 아니다. review coordinate다. trusted 내부 runbook은 baseline이나 waiver가 있을 수 있지만, 외부 후보에서 hard blocker가 나오면 reject나 quarantine으로 막아야 한다.
중요한 건 "보안 도구를 붙였다"가 아니다. OkayJing의 운영 규칙으로 들어오는 입구에 intake gate를 만든 것이다.
이런 절차는 귀찮다. 하지만 목적은 외부 지식을 막는 것이 아니다. 좋은 패턴은 흡수하되, 행동 권한과 출처를 흐리지 않으려는 것이다.
OkayJing이 오래 굴러가려면 "어디서 온 규칙인지", "어떤 위험을 봤는지", "왜 허용했는지"가 남아야 한다. 그래야 나중에 이상한 행동이 생겼을 때 skill 자체를 다시 추적할 수 있다.
개인 agent를 키우다 보면 좋은 skill, MCP tool, prompt pack을 계속 보게 된다. 문제는 그 파일들이 코드와 비슷한 권한을 갖는다는 점이다. agent가 읽고 따르는 문서라면, 그 문서는 실행 경로에 들어온 공급망이다.
최소 절차는 단순해도 된다. 출처를 기록한다. 파일 안의 명령, 네트워크 호출, credential 접근, 과한 권한 요청을 훑는다. 바로 설치하지 않고 격리된 위치에서 읽는다. 허용했다면 왜 허용했는지 남긴다. 이런 기록이 있어야 나중에 agent가 이상하게 행동할 때 skill까지 거슬러 올라갈 수 있다.
Post Q&A
스킬은 문서가 아니라 공급망이다 — SkillSpector와 ToxicSkills guardrail 전체를 기준으로 질문과 피드백을 받아요.답을 본 뒤에는 이 내용을 댓글로 달아서 서징에게도 물어볼 수 있어요. 작성자가 직접 볼 수 있어요!