מדיניות אבטחה
המדיניות המלאה של Skills IL לאבטחת סקילס והגנה על משתמשים
מדיניות אבטחה
מחויבות לאבטחה
Skills IL מפעילה מספר שכבות הגנה כדי לאבטח סקילס בפלטפורמה. כל סקיל עובר ניתוח אוטומטי ואישור ידני לפני פרסום.
תהליך הבדיקה
שלב 1: ניתוח הרשאות
כל סקיל מצהיר על הכלים שהוא צריך. המערכת מנתחת הרשאות אלו ומדרגת אותן לפי רמת הסיכון. סקילס שדורשים הרשאות רחבות (כמו גישה לטרמינל או מערכת הקבצים) מקבלים ציון נמוך יותר, בעוד סקילס עם הרשאות מצומצמות מדורגים גבוה יותר.
שלב 2: זיהוי תבניות מסוכנות
המערכת סורקת את תוכן הסקיל לזיהוי תבניות בעייתיות, כולל:
- גישה למשתני סביבה
- פעולות מערכת קבצים
- קריאות רשת
- הרצת קוד דינמית
זיהוי זה מבוסס על סריקת תוכן ומתריע על תבניות שעלולות להיות מסוכנות.
שלב 3: סורקי אבטחה חיצוניים
מאגרי קוד של סקילס עשויות לכלול סריקות אבטחה של כלים חיצוניים כגון Snyk ו-Cisco. כאשר תוצאות זמינות, אנו מציגים אותן בעמוד הסקיל.
שלב 4: אישור ידני
כל סקיל חדש דורש אישור ידני לפני פרסום. סקילס אינם גלויים לציבור עד לאישור, והם יכולים להידחות עם הערות.
שלב 5: ציון אמון
כל סקיל מקבל ציון אמון על בסיס מספר מדדים, כולל:
- איכות קוד - פעילות הקהילה סביב הפרויקט
- הרשאות - רמת הגישה שהסקיל דורש
- טיפול בנתונים - נוכחות תבניות רגישות
- מוניטין המפרסם - היסטוריית הפרסום
- תחזוקה - עדכניות הפרויקט
- תיעוד - שלמות התיעוד והרישיון
הציון קובע את דרגת האמון: Verified, Trusted, Community, או Under Review.
אבטחת Frontmatter
הגדרות הסקיל (frontmatter) מופיעות ב-system prompt של הסוכן. לכן:
- תוכן שעלול לשמש להזרקת הוראות נדחה בוולידציה
- שמות שמורים של ספקי AI נחסמים
- הגדרות מפורסרות באופן בטוח ללא הרצת קוד
- תוכן מוצג עובר סינון לפני הצגה
דיווח על חולשות
אם מצאת חולשת אבטחה, אנא דווח באופן פרטי דרך אחד מהערוצים הבאים:
- דיווח פרטי ב-GitHub - הדרך המועדפת, מאפשרת דיון פרטי עד לתיקון
- אימייל: security@agentskills.co.il
חשוב: אנא אל תפתחו issue ציבורי עבור חולשות אבטחה. דיווח פרטי מאפשר לנו לתקן את הבעיה לפני חשיפתה.
אנו שואפים לטפל בכל דיווח תוך 48 שעות.
עדכונים
מדיניות זו מתעדכנת באופן שוטף. עדכון אחרון: מרץ 2026.