SkillVaultEUR 89 kaufen
Audit-Bericht für jeden ausgelieferten Skill

41 geprüfte Claude- und Cursor-Skills. Mit Audit-Bericht für jeden einzelnen.

Snyks Februar-2026-Audit hat 3.984 öffentliche Skills untersucht. 13,4 % hatten kritische Schwachstellen. 36 % enthielten Prompt-Injection-Payloads. Wir haben 41 Skills handgeprüft, in eine eigene GitHub-Organisation geforkt und für jeden einen einseitigen Audit-Bericht beigelegt.

SkillVault Launch, EUR 89 einmaligAudit-Verfahren ansehen
Rechnung mit USt-IdNr.-Ausweis über Stripe. Englische Version: venture-hub-snowy.vercel.app/skillvault.

Die Eintrittsbarriere für einen bösartigen Skill ist eine SKILL.md-Datei und ein GitHub-Konto von einer Woche Alter.

Claude Code, Cursor, Codex CLI und Gemini CLI akzeptieren alle das gleiche SKILL.md-Format. Eine einzige bösartige Datei läuft in vier verschiedenen Tools.

Snyk hat im Februar 2026 ein Audit von 3.984 öffentlichen Skills veröffentlicht: 13,4 % mit kritischen Problemen, 36 % mit Prompt-Injection-Payloads, 1.467 mit aktivem Schadcode (Credential-Diebstahl, Backdoors, Datenexfiltration).

Die Marketplaces konkurrieren über Skill-Anzahl, nicht über Sicherheit. Es gibt keinen verpflichtenden Review-Prozess.

3.984
Skills von Snyk gescannt
13,4 %
mit mindestens einer kritischen Schwachstelle
36 %
mit Prompt-Injection-Payloads
1.467
enthielten aktiven Schadcode

Unser Audit-Verfahren (7 Prüfungen pro Skill).

1
Prompt-Injection-Scan
Gegen die Snyk- und OWASP-AST02-Payload-Korpora.
2
Lizenz-Check
Nur MIT oder Apache. Anthropics eigene Office-Skills haben wir wegen Source-Available-Beschränkungen abgelehnt und durch MIT-Ersätze ersetzt.
3
Abhängigkeits-Schwachstellen
Keine High- oder Critical-CVEs zum Auslieferungszeitpunkt.
4
Netzwerk-Audit
Jeder ausgehende URL wird aufgezählt und klassifiziert.
5
Geheimnis- und Token-Exfiltration
Manuelle Spurensuche durch env-Zugriff und Clipboard-Hooks.
6
Sandbox- vs. Echtumgebung
Verhaltensdifferenz zwischen Sandbox und realer Entwicklungsumgebung.
7
Wartungssignal
Letzter Commit, Issue-Quote, Maintainer-Konto-Historie.
Jeder Skill kommt mit einem einseitigen Audit-Bericht: bestandene Prüfungen, gepinnter Commit-SHA, Reviewer-Notizen.

Was Sie bekommen.

  • 41 Skills in 8 Kategorien (Dokumente 8, Coding 7, Sicherheit 6, Daten 4, Testing 4, UI 5, Marketing 3, Meta 4)
  • 41 individuelle Audit-Berichte (PDF)
  • Methodologie-Dokument (auch frei verfügbar)
  • Forking-Garantie: Skills sind in unsere private GitHub-Org geforkt; der Upstream kann nicht still mutiert werden
  • Bug-Bounty: 200 EUR Sofortzahlung für jede verifizierte Schwachstelle in einem ausgelieferten Skill, mit öffentlicher Disclosure innerhalb von 48 Stunden

EU AI Act Article 50 (DACH-spezifisch).

Wenn Sie in der EU AI-Tools einsetzen, fordert Article 50 ab August 2026 eine dokumentierte Bewertung der Komponentenherkunft. SkillVault-Audit-Berichte sind so strukturiert, dass sie direkt in eine Article-50-Komponentenliste übernommen werden können.

Wir bieten keine Rechtsberatung; sprechen Sie mit Ihrem DPO. Aber die Dokumentation ist da, wenn Sie sie brauchen.

Preis.

Eine Zahlung. Lebenslange Updates. Privater GitHub-Repo-Zugang. Rechnung mit USt.

Launch, erste 200 Plätze
EUR 89 einmalig
  • 41 geprüfte Skills, alle 4 IDEs
  • Lebenslange Updates
  • Privater GitHub-Repo-Zugang
  • Audit-PDF für jeden Skill
Launch-Preis sichern
Standard
EUR 179 einmalig
  • Alles aus Launch
  • Vierteljährliche Re-Audit-Berichte
  • Priorität bei neuen Skill-Anfragen
  • Bug-Bounty-Belohnungen
Standard wählen
Pro mit Discord
EUR 269 einmalig
  • Alles aus Standard
  • Privater Discord mit dem Auditor
  • Abstimmung über nächste Skills
  • Erstzugang zu neuen Paketen
Pro wählen

14-Tage-Rückgaberecht ohne Rückfragen. Falls ein ausgelieferter Skill nachträglich eine Schwachstelle aufweist, veröffentlichen wir die Disclosure binnen 48 Stunden und zahlen 200 EUR an den Reporter.

FAQ.

Funktioniert das mit Cursor / Codex / Gemini?

Ja. SKILL.md ist seit Dezember 2025 ein offener Standard. Eine Datei läuft in allen vier.

Updates?

Standard und Pro bekommen vierteljährliche Skill-Drops. Launch ist die Snapshot-Version vom Mai 2026.

Rechnung mit MwSt?

Ja, USt-IdNr.-fähige Rechnung über Stripe für alle EU-Käufe.

41 geprüfte Skills. 41 Audit-Berichte. EUR 89 einmalig.

Jetzt kaufen, Launch-Preis bis 1. Juni