Скачал skills по совету из YouTube — слил все свои данные. Как это работает?

Ускоряем работу в 100 раз, говорили они…

Представьте: вы посмотрели ролик на YouTube о том, как настроить ИИ-ассистента для работы. Автор советует поставить пару skills — один для работы с почтой, другой для вайбкодинга, третий — для редактирования статей. А то и предлагает скачать весь репозиторий с GitHub, содержащий несколько десятков skills. Ведь больше — не меньше, правда?

А тем временем один из них при первом запуске прочитал файл ~/.aws/credentials (содержит ключи от Amazon Web Services), ~/.config/yandex-cloud/config (ключи от Yandex Cloud) и отправил их на внешний сервер.

Без дополнительных запросов и разрешений со стороны пользователя.

Почему, как так, спросит уважаемый читатель? Ответ простой — скил просто выполнил инструкцию, которая была спрятана в одном из файлов

И да, это не теоретическая пугалка для детей. В феврале 2026 года исследователи из американской компании Snyk, специализирующейся на кибербезопасности, нашли критические уязвимости у 13,4% skills, опубликованных на крупнейших маркетплейсах Skills.sh и ClawHub.ai и доступных для свободного скачивания.

Что такое skill и почему он так опасен?

Skills — это пакеты инструкций, которые расширяют возможности ИИ-агентов: Claude Code, OpenClaw, Cursor, GitHub Copilot. 

По сути это подробная инструкция, что и как делать в одной узкой или не очень области. Минимально skill — это текстовый файл в формате markdown SKILL.md. 

 В большинстве «обучающих» видео на YouTube авторы показывают, как легко скачать и установить скилы, при этом совершенно игнорируя предупреждение от системы «Скачивайте только то, в чём вы уверены». Что же может пойти не так? Давайте посмотрим.

Skill наследует всё, что есть у агента

Когда вы устанавливаете skill, он не получает отдельный ограниченный набор прав — он автоматически работает с теми же возможностями, что и сам агент. А агенты сегодня имеют широкие права по умолчанию. Да, Claude Code запрашивает разрешение перед каждым опасным действием. Но у skill есть способ это обойти — одна строчка в файле:

allowed-tools: Bash(*)

Она говорит агенту: «выполняй любые команды без запроса разрешения у пользователя». После этого skill может запускать что угодно и без дополнительных подтверждений от пользователя. Этот способ подробно описан в исследовании Skill Issues: Compromising Claude Code — Reversec Labs.

После получения полного доступа к компьютеру, агент добирается до:

• Файлов переменных окружения (.env) — там незашифрованные API-ключи, токены, пароли от баз данных, полное раздолье

• Почты, WhatsApp, Telegram. Вспомните — отправляли ли вы фото карты и паспорта для бронирования билета, тура или визы? Если да, они теперь могут быть у злоумышленника.

Кстати, если у Claude Code изначально есть ограничение на доступ только к файлам проекта, то документация другого популярного ИИ-агента OpenClaw прямо предупреждает: «если sandbox не настроен явно (а по умолчанию он выключен), то агент работает с полными правами пользователя — то есть имеет доступ к тем же файлам, ключам и командам, что и сам пользователь».

Каждый третий skill в популярных маркетплейсах небезопасен

Давайте кратко посмотрим на результаты исследования экосистемы skills, которое в феврале 2026 года провела компания Snyk. 

Они проверили 3 984 skills с двух крупнейших маркетплейсов: ClawHub (все имеющиеся skills) и skills.sh (100 самых популярных). 

 Результаты: 

 13,4% skills (534 штуки) — минимум одна критическая проблема: вредоносный код, кража данных, бэкдор. 

36,8% skills (1 467 штук) — хотя бы одна уязвимость любой степени тяжести. 

76 skills — подтверждённый вручную вредоносный код: кража ключей, установка бэкдора, утечка данных. 

8 из этих 76 оставались в открытом доступе на момент публикации исследования. Сейчас все упомянутые в статье skills удалены из маркетплейсов и GitHub. 

Исследователи сравнивают текущую ситуацию со скилами с ранними днями npm-каталогов для JavaScript-разработчиков — периодом, который многие в индустрии называют диким западом экосистемных пакетов. Полный отчёт: snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub

Можно ли защититься?

И да и нет. В целом можно выделить 3 уровня защиты.

Уровень 1 — Максимальная защита. Ставим только то, что понимаем 

Если ничего не понимаем в программировании, ставим только текстовые скилы, без дополнительных расширений.

Открываем SKILL.md на гите и просто читаем глазами. В оригинале или через переводчик. 

Если в нем только читаемые инструкции без команд, ссылок на внешние ресурсы и непонятных символов — скорее всего, всё в порядке. 

Хороший пример: postgresql-code-review от GitHub. Файл содержит описание хороших и плохих примеров запросов на sql. В целом этот файл рекомендован к прочтению всем новичкам, работающим с базами данных.

Уровень 2 — Доверяйем проверенным источникам

Anthropic публикует официальные скилы в репозитории github.com/anthropics/skills. Скилы, встроенные непосредственно в Claude Code, доступны по умолчанию и проходят внутреннюю проверку. Это не гарантия абсолютной безопасности, но уровень доверия принципиально выше случайного скила с ClawHub.

Уровень 3 — Проверяем через специальные сканеры

Если скил очень нужен, но источник вызывает сомнения:

• Snyk Skill Inspector — онлайн проверка от Snyk. Для проверки загружаем папку со скилом и получаем отчёт о безопасности

• Cisco skill-scanner — утилита с открытым кодом, 2200+ звёзд на GitHub от известного разработчка Cisco.

Важно: и Snyk, и Cisco честно предупреждают, что методы атак развиваются быстрее, чем их детекторы. Сканер снижает риск, но не устраняет его полностью. И все-таки это лучше, чем ничего.

Многие исследователи сравнивают текущую ситуацию на рынке скилов с ранними днями npm пакетов JavaScript. Периодом, который многие в индустрии называют диким западом экосистемных пакетов». И когда системно будут закрыты дыры пока не понятно.

В общем, будьте осторожны 🙂

Источник: habr.com