Ускоряем работу в 100 раз, говорили они...
Представьте: вы посмотрели ролик на YouTube о том, как настроить ИИ-ассистента для работы. Автор советует поставить пару skills — один для работы с почтой, другой для вайбкодинга, третий — для редактирования статей. А то и предлагает скачать весь репозиторий с GitHub, содержащий несколько десятков skills. Ведь больше — не меньше, правда?
А тем временем один из них при первом запуске прочитал файл ~/.aws/credentials (содержит ключи от Amazon Web Services), ~/.config/yandex-cloud/config (ключи от Yandex Cloud) и отправил их на внешний сервер.
Без дополнительных запросов и разрешений со стороны пользователя.
Почему, как так, спросит уважаемый читатель? Ответ простой — скил просто выполнил инструкцию, которая была спрятана в одном из файлов
И да, это не теоретическая пугалка для детей. В феврале 2026 года исследователи из американской компании Snyk, специализирующейся на кибербезопасности, нашли критические уязвимости у 13,4% skills, опубликованных на крупнейших маркетплейсах Skills.sh и ClawHub.ai и доступных для свободного скачивания.

Что такое skill и почему он так опасен?
Skills — это пакеты инструкций, которые расширяют возможности ИИ-агентов: Claude Code, OpenClaw, Cursor, GitHub Copilot.
По сути это подробная инструкция, что и как делать в одной узкой или не очень области. Минимально skill — это текстовый файл в формате markdown SKILL.md.
В большинстве «обучающих» видео на YouTube авторы показывают, как легко скачать и установить скилы, при этом совершенно игнорируя предупреждение от системы «Скачивайте только то, в чём вы уверены». Что же может пойти не так? Давайте посмотрим.

Skill наследует всё, что есть у агента
Когда вы устанавливаете skill, он не получает отдельный ограниченный набор прав — он автоматически работает с теми же возможностями, что и сам агент. А агенты сегодня имеют широкие права по умолчанию. Да, Claude Code запрашивает разрешение перед каждым опасным действием. Но у skill есть способ это обойти — одна строчка в файле:
allowed-tools: Bash(*)
Она говорит агенту: «выполняй любые команды без запроса разрешения у пользователя». После этого skill может запускать что угодно и без дополнительных подтверждений от пользователя. Этот способ подробно описан в исследовании Skill Issues: Compromising Claude Code — Reversec Labs.
После получения полного доступа к компьютеру, агент добирается до:
Файлов переменных окружения (.env) — там незашифрованные API-ключи, токены, пароли от баз данных, полное раздолье
Почты, WhatsApp, Telegram. Вспомните — отправляли ли вы фото карты и паспорта для бронирования билета, тура или визы? Если да, они теперь могут быть у злоумышленника.
Кстати, если у Claude Code изначально есть ограничение на доступ только к файлам проекта, то документация другого популярного ИИ-агента OpenClaw прямо предупреждает: «если sandbox не настроен явно (а по умолчанию он выключен), то агент работает с полными правами пользователя — то есть имеет доступ к тем же файлам, ключам и командам, что и сам пользователь».

Каждый третий skill в популярных маркетплейсах небезопасен
Давайте кратко посмотрим на результаты исследования экосистемы skills, которое в феврале 2026 года провела компания Snyk.
Они проверили 3 984 skills с двух крупнейших маркетплейсов: ClawHub (все имеющиеся skills) и skills.sh (100 самых популярных).
Результаты:
13,4% skills (534 штуки) — минимум одна критическая проблема: вредоносный код, кража данных, бэкдор.
36,8% skills (1 467 штук) — хотя бы одна уязвимость любой степени тяжести.
76 skills — подтверждённый вручную вредоносный код: кража ключей, установка бэкдора, утечка данных.
8 из этих 76 оставались в открытом доступе на момент публикации исследования. Сейчас все упомянутые в статье skills удалены из маркетплейсов и GitHub.
Исследователи сравнивают текущую ситуацию со скилами с ранними днями npm-каталогов для JavaScript-разработчиков — периодом, который многие в индустрии называют диким западом экосистемных пакетов. Полный отчёт: snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub
Можно ли защититься?
И да и нет. В целом можно выделить 3 уровня защиты.
Уровень 1 — Максимальная защита. Ставим только то, что понимаем
Если ничего не понимаем в программировании, ставим только текстовые скилы, без дополнительных расширений.
Открываем SKILL.md на гите и просто читаем глазами. В оригинале или через переводчик.
Если в нем только читаемые инструкции без команд, ссылок на внешние ресурсы и непонятных символов — скорее всего, всё в порядке.
Хороший пример: postgresql-code-review от GitHub. Файл содержит описание хороших и плохих примеров запросов на sql. В целом этот файл рекомендован к прочтению всем новичкам, работающим с базами данных.
Уровень 2 — Доверяйем проверенным источникам
Anthropic публикует официальные скилы в репозитории github.com/anthropics/skills. Скилы, встроенные непосредственно в Claude Code, доступны по умолчанию и проходят внутреннюю проверку. Это не гарантия абсолютной безопасности, но уровень доверия принципиально выше случайного скила с ClawHub.
Уровень 3 — Проверяем через специальные сканеры
Если скил очень нужен, но источник вызывает сомнения:
Snyk Skill Inspector — онлайн проверка от Snyk. Для проверки загружаем папку со скилом и получаем отчёт о безопасности
Cisco skill-scanner — утилита с открытым кодом, 2200+ звёзд на GitHub от известного разработчка Cisco.
Важно: и Snyk, и Cisco честно предупреждают, что методы атак развиваются быстрее, чем их детекторы. Сканер снижает риск, но не устраняет его полностью. И все-таки это лучше, чем ничего.
Многие исследователи сравнивают текущую ситуацию на рынке скилов с ранними днями npm пакетов JavaScript. Периодом, который многие в индустрии называют диким западом экосистемных пакетов». И когда системно будут закрыты дыры пока не понятно.
В общем, будьте осторожны :)
Комментарии (10)

neirotavr
19.06.2026 21:48Полезный разбор, спасибо. Зацепило, что главная защита тут не технология, а привычка: открыть SKILL.md и реально прочитать его глазами перед установкой — ровно как раньше учили смотреть, что просит установщик, прежде чем жать «Далее». Строка
allowed-tools: Bash(*)— это же «разреши мне всё», и её спокойно прячут в репозиторий на десятки скилов, где руками всё не пересмотришь. Любопытно, дойдут ли маркетплейсы до песочницы-по-умолчанию и подписей авторов, или так и будем жить как с ранним npm.
labla Автор
19.06.2026 21:48Пожалуйста! Кстати, я сама была удивлена, когда просмотрела, как кратко и емко описаны некооторые скилы для SQL - это моя профессиональная область, так что проблема неоптимальных запросов известна не по наслышке.
Сейчас думаю на основе нескольких скилов нбольшой внутренний курс для сотрудников сделать - не только же нейросеткам умными быть :)

omaxx
19.06.2026 21:48Бесполезно писать статьи для людей, получающих знания из роликов на Youtube...

tigra74
19.06.2026 21:48Здесь статьи читают люди, которые хотят получать знания не только из роликов на Youtube)

labla Автор
19.06.2026 21:48Сейчас, из-за упрощения входа, с нейросетками работает куча народа, кто вообще в безопасности не понимает. При этом хабр читают, т.к. уже написали змейку на питоне за 10 минут, а значит почти программисты :)

KEugene
19.06.2026 21:48Ну да. А еще нельзя скачивать и запускать sh, bat, exe, vbs, msi, py, jar, pl, cmd, app, apk, js, что там еще можно запустить и ожидать счастья.
Кстати, не знаю как там у автора, у меня Клод просит разрешения на запуск скрипта из скилла.

labla Автор
19.06.2026 21:48Кстати, не знаю как там у автора, у меня Клод просит разрешения на запуск скрипта из скилла.
Да, так и должен работать скилл в идеале. Но если вы скачаете скилл со встроенным бекдорор, то один раз спросив у вас разрешение, он получит полный доступ к вашим данным. И долго ли ему скачать после этого данные из переменных окружения, телеги и вацапа? А у большинства людей там куча паролей, фоток карт/паспортов и т.д.
MasterSEED
Очень полезно. Сохранил себе, завтра для Линкедин на этой основе тоже пост напишу, а то там каждый второй скиллы бесплатно впаривает пользователям и сколько им не говори что это не безопасно но там хоть колом чеши +
labla Автор
Пожалуйста.Если получиться потом ссылкой на пост поделиться, буду благодарна :)