Скачал skills по совету из YouTube — слил все свои данные. Как это работает?
labla 15 минут назад Скачал skills по совету из YouTube — слил все свои данные. Как это работает? Простой 4 мин 587 Информационная безопасность * Искусственный интеллект Обзор Из песочницы Ускоряем работу в 100 раз,...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Значимый прорыв формирует отрасль ИИ: labla 15 минут назад Скачал skills по совету из YouTube — слил все свои данные. Простой 4 мин 587 Информационная безопасность * Искусственный интеллект Обзор Из песочницы Ускоряем работу в 100 раз, говорили они... Представьте: вы посмотрели ролик на YouTube о том, как настроить ИИ-ассистента для работы.
Автор советует поставить пару skills — один для работы с почтой, другой для вайбкодинга, третий — для редактирования статей. А то и предлагает скачать весь репозиторий с GitHub, содержащий несколько десятков skills. Ведь больше — не меньше, правда?
Технические детали
А тем временем один из них при первом запуске прочитал файл ~/. aws/credentials (содержит ключи от Amazon Web Services), ~/. config/yandex-cloud/config (ключи от Yandex Cloud) и отправил их на внешний сервер.
Без дополнительных запросов и разрешений со стороны пользователя. Почему, как так, спросит уважаемый читатель? Ответ простой — скил просто выполнил инструкцию, которая была спрятана в одном из файлов И да, это не теоретическая пугалка для детей.
В феврале 2026 года исследователи из американской компании Snyk, специализирующейся на кибербезопасности, нашли критические уязвимости у 13,4% skills, опубликованных на крупнейших маркетплейсах Skills. ai и доступных для свободного скачивания. Русифицированная версия таблицы из исследования.
Отраслевые последствия
Оригинал здесь такое skill и почему он так опасен? Skills — это пакеты инструкций, которые расширяют возможности ИИ-агентов: Claude Code, OpenClaw, Cursor, GitHub Copilot. По сути это подробная инструкция, что и как делать в одной узкой или не очень области.
Минимально skill — это текстовый файл в формате markdown SKILL. В большинстве «обучающих» видео на YouTube авторы показывают, как легко скачать и установить скилы, при этом совершенно игнорируя предупреждение от системы «Скачивайте только то, в чём вы уверены». Что же может пойти не так?
Скрин из обучающего видео для новичков о том, как установить скилы. Как думаете, что автор сделала с этим предупреждением? Оригинал здесь наследует всё, что есть у агента Когда вы устанавливаете skill, он не получает отдельный ограниченный набор прав — он автоматически работает с теми же возможностями, что и сам агент.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.
