Back to skill

Security audit

ValueSERP Rank Checker

Security checks across malware telemetry and agentic risk

Overview

This is a straightforward SEO rank-checking skill that calls ValueSERP with a user-provided API key, with minor scoping and language-default cautions but no evidence of hidden or destructive behavior.

Before installing, confirm you are comfortable providing a ValueSERP API key and sending searched keywords and domains to ValueSERP. Use explicit domain, keyword, country, and language settings to avoid accidental searches or API costs.

SkillSpector

By NVIDIA
Vulnerability Patterns
  • Trigger AbuseOverly Broad Trigger, Shadow Command Trigger, Keyword Baiting Trigger
  • Prompt InjectionInstruction Override, Hidden Instructions, Exfiltration Commands
  • Data ExfiltrationExternal Transmission, Env Variable Harvesting, File System Enumeration
  • Privilege EscalationExcessive Permissions, Sudo/Root Execution, Credential Access
  • Supply ChainUnpinned Dependencies, External Script Fetching, Obfuscated Code
Findings (3)

Vague Triggers

Medium
Confidence
84% confidence
Finding
La descripción incluye frases como "o cualquier consulta sobre posicionamiento SEO de un dominio en Google", lo que amplía demasiado las condiciones de activación. Un disparador tan amplio puede hacer que el agente invoque esta skill en contextos no previstos y envíe consultas del usuario a un servicio externo sin una intención suficientemente específica o confirmada.

Natural-Language Policy Violations

Medium
Confidence
79% confidence
Finding
Forzar Google Colombia y español por defecto sin opt-in puede producir consultas con geolocalización e idioma distintos de los que el usuario esperaba, afectando privacidad contextual e integridad del resultado. Aunque no es una vulnerabilidad crítica, sí puede causar procesamiento externo de datos bajo supuestos incorrectos y respuestas engañosas.

Natural-Language Policy Violations

Medium
Confidence
76% confidence
Finding
La instrucción de presentar siempre el resultado en español impone un idioma sin considerar la preferencia del usuario. Esto puede degradar la seguridad de uso al generar malentendidos sobre resultados SEO o configuraciones regionales, especialmente en flujos multilingües o automatizados.

VirusTotal

65/65 vendors flagged this skill as clean.

View on VirusTotal

Static analysis

No suspicious patterns detected.