Ускоряем работу в 100 раз, говорили они...
Представьте: вы посмотрели ролик на YouTube о том, как настроить ИИ-ассистента для работы. Автор советует поставить пару skills — один для работы с почтой, другой для вайбкодинга, третий — для редактирования статей. А то и предлагает скачать весь репозиторий с GitHub, содержащий несколько десятков skills. Ведь больше — не меньше, правда?
А тем временем один из них при первом запуске прочитал файл ~/.aws/credentials (содержит ключи от Amazon Web Services), ~/.config/yandex-cloud/config (ключи от Yandex Cloud) и отправил их на внешний сервер.
Без дополнительных запросов и разрешений со стороны пользователя.
Почему, как так, спросит уважаемый читатель? Ответ простой — скил просто выполнил инструкцию, которая была спрятана в одном из файлов
И да, это не теоретическая пугалка для детей. В феврале 2026 года исследователи из американской компании Snyk, специализирующейся на кибербезопасности, нашли критические уязвимости у 13,4% skills, опубликованных на крупнейших маркетплейсах Skills.sh и ClawHub.ai и доступных для свободного скачивания.
Что такое skill и почему он так опасен?
Skills — это пакеты инструкций, которые расширяют возможности ИИ-агентов: Claude Code, OpenClaw, Cursor, GitHub Copilot.
По сути это подробная инструкция, что и как делать в одной узкой или не очень области. Минимально skill — это текстовый файл в формате markdown SKILL.md.
В большинстве «обучающих» видео на YouTube авторы показывают, как легко скачать и установить скилы, при этом совершенно игнорируя предупреждение от системы «Скачивайте только то, в чём вы уверены». Что же может пойти не так? Давайте посмотрим.
Skill наследует всё, что есть у агента
Когда вы устанавливаете skill, он не получает отдельный ограниченный набор прав — он автоматически работает с теми же возможностями, что и сам агент. А агенты сегодня имеют широкие права по умолчанию. Да, Claude Code запрашивает разрешение перед каждым опасным действием. Но у skill есть способ это обойти — одна строчка в файле:
allowed-tools: Bash(*)
Она говорит агенту: «выполняй любые команды без запроса разрешения у пользователя». После этого skill может запускать что угодно и без дополнительных подтверждений от пользователя. Этот способ подробно описан в исследовании Skill Issues: Compromising Claude Code — Reversec Labs.
После получения полного доступа к компьютеру, агент добирается до:
Файлов переменных окружения (.env) — там незашифрованные API-ключи, токены, пароли от баз данных, полное раздолье
Почты, WhatsApp, Telegram. Вспомните — отправляли ли вы фото карты и паспорта для бронирования билета, тура или визы? Если да, они теперь могут быть у злоумышленника.
Кстати, если у Claude Code изначально есть ограничение на доступ только к файлам проекта, то документация другого популярного ИИ-агента OpenClaw прямо предупреждает: «если sandbox не настроен явно (а по умолчанию он выключен), то агент работает с полными правами пользователя — то есть имеет доступ к тем же файлам, ключам и командам, что и сам пользователь».
Каждый третий skill в популярных маркетплейсах небезопасен
Давайте кратко посмотрим на результаты исследования экосистемы skills, которое в феврале 2026 года провела компания Snyk.
Они проверили 3 984 skills с двух крупнейших маркетплейсов: ClawHub (все имеющиеся skills) и skills.sh (100 самых популярных).
Результаты:
13,4% skills (534 штуки) — минимум одна критическая проблема: вредоносный код, кража данных, бэкдор.
36,8% skills (1 467 штук) — хотя бы одна уязвимость любой степени тяжести.
76 skills — подтверждённый вручную вредоносный код: кража ключей, установка бэкдора, утечка данных.
8 из этих 76 оставались в открытом доступе на момент публикации исследования. Сейчас все упомянутые в статье skills удалены из маркетплейсов и GitHub.
Исследователи сравнивают текущую ситуацию со скилами с ранними днями npm-каталогов для JavaScript-разработчиков — периодом, который многие в индустрии называют диким западом экосистемных пакетов. Полный отчёт: snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub
Можно ли защититься?
И да и нет. В целом можно выделить 3 уровня защиты.
Уровень 1 — Максимальная защита. Ставим только то, что понимаем
Если ничего не понимаем в программировании, ставим только текстовые скилы, без дополнительных расширений.
Открываем SKILL.md на гите и просто читаем глазами. В оригинале или через переводчик.
Если в нем только читаемые инструкции без команд, ссылок на внешние ресурсы и непонятных символов — скорее всего, всё в порядке.
Хороший пример: postgresql-code-review от GitHub. Файл содержит описание хороших и плохих примеров запросов на sql. В целом этот файл рекомендован к прочтению всем новичкам, работающим с базами данных.
Уровень 2 — Доверяйем проверенным источникам
Anthropic публикует официальные скилы в репозитории github.com/anthropics/skills. Скилы, встроенные непосредственно в Claude Code, доступны по умолчанию и проходят внутреннюю проверку. Это не гарантия абсолютной безопасности, но уровень доверия принципиально выше случайного скила с ClawHub.
Уровень 3 — Проверяем через специальные сканеры
Если скил очень нужен, но источник вызывает сомнения:
Snyk Skill Inspector — онлайн проверка от Snyk. Для проверки загружаем папку со скилом и получаем отчёт о безопасности
Cisco skill-scanner — утилита с открытым кодом, 2200+ звёзд на GitHub от известного разработчка Cisco.
Важно: и Snyk, и Cisco честно предупреждают, что методы атак развиваются быстрее, чем их детекторы. Сканер снижает риск, но не устраняет его полностью. И все-таки это лучше, чем ничего.
Многие исследователи сравнивают текущую ситуацию на рынке скилов с ранними днями npm пакетов JavaScript. Периодом, который многие в индустрии называют диким западом экосистемных пакетов». И когда системно будут закрыты дыры пока не понятно.
В общем, будьте осторожны :)
