惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Stack Overflow Blog
Stack Overflow Blog
V2EX - 技术
V2EX - 技术
Microsoft Azure Blog
Microsoft Azure Blog
I
InfoQ
Blog — PlanetScale
Blog — PlanetScale
MyScale Blog
MyScale Blog
The Register - Security
The Register - Security
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Y
Y Combinator Blog
N
News and Events Feed by Topic
SecWiki News
SecWiki News
U
Unit 42
T
Threat Research - Cisco Blogs
TaoSecurity Blog
TaoSecurity Blog
Webroot Blog
Webroot Blog
GbyAI
GbyAI
C
Cyber Attacks, Cyber Crime and Cyber Security
V
Vulnerabilities – Threatpost
Vercel News
Vercel News
A
About on SuperTechFans
P
Proofpoint News Feed
F
Fortinet All Blogs
T
The Blog of Author Tim Ferriss
M
MIT News - Artificial intelligence
H
Hackread – Cybersecurity News, Data Breaches, AI and More
H
Hacker News: Front Page
云风的 BLOG
云风的 BLOG
Schneier on Security
Schneier on Security
阮一峰的网络日志
阮一峰的网络日志
H
Help Net Security
T
The Exploit Database - CXSecurity.com
K
Kaspersky official blog
Security Archives - TechRepublic
Security Archives - TechRepublic
P
Palo Alto Networks Blog
Help Net Security
Help Net Security
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
MongoDB | Blog
MongoDB | Blog
Jina AI
Jina AI
L
LangChain Blog
博客园 - 三生石上(FineUI控件)
爱范儿
爱范儿
The GitHub Blog
The GitHub Blog
aimingoo的专栏
aimingoo的专栏
Project Zero
Project Zero
Engineering at Meta
Engineering at Meta
S
Schneier on Security
C
CXSECURITY Database RSS Feed - CXSecurity.com
B
Blog RSS Feed
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Скачал skills по совету из YouTube — слил все свои данные. Как это работает?
Ryzhikova Liydmila · 2026-06-19 · via Все публикации подряд на Хабре

Простой

4 мин

985

Ускоряем работу в 100 раз, говорили они...

Представьте: вы посмотрели ролик на YouTube о том, как настроить ИИ-ассистента для работы. Автор советует поставить пару skills — один для работы с почтой, другой для вайбкодинга, третий — для редактирования статей. А то и предлагает скачать весь репозиторий с GitHub, содержащий несколько десятков skills. Ведь больше — не меньше, правда?

А тем временем один из них при первом запуске прочитал файл ~/.aws/credentials (содержит ключи от Amazon Web Services), ~/.config/yandex-cloud/config (ключи от Yandex Cloud) и отправил их на внешний сервер.

Без дополнительных запросов и разрешений со стороны пользователя.

Почему, как так, спросит уважаемый читатель? Ответ простой — скил просто выполнил инструкцию, которая была спрятана в одном из файлов

И да, это не теоретическая пугалка для детей. В феврале 2026 года исследователи из американской компании Snyk, специализирующейся на кибербезопасности, нашли критические уязвимости у 13,4% skills, опубликованных на крупнейших маркетплейсах Skills.sh и ClawHub.ai и доступных для свободного скачивания.

Русифицированная версия таблицы из исследования. Оригинал здесь https://github.com/snyk/agent-scan/blob/main/.github/reports/skills-report.pdf

Русифицированная версия таблицы из исследования. Оригинал здесь https://github.com/snyk/agent-scan/blob/main/.github/reports/skills-report.pdf

Что такое skill и почему он так опасен?

Skills — это пакеты инструкций, которые расширяют возможности ИИ-агентов: Claude Code, OpenClaw, Cursor, GitHub Copilot. 

По сути это подробная инструкция, что и как делать в одной узкой или не очень области. Минимально skill — это текстовый файл в формате markdown SKILL.md. 

 В большинстве «обучающих» видео на YouTube авторы показывают, как легко скачать и установить скилы, при этом совершенно игнорируя предупреждение от системы «Скачивайте только то, в чём вы уверены». Что же может пойти не так? Давайте посмотрим.

Скрин из обучающего видео для новичков о том, как установить скилы. Как думаете, что автор сделала с этим предупреждением? Правильно, ни-че-го. Оригинал здесь https://www.youtube.com/watch?v=w-ZESK23pRw

Скрин из обучающего видео для новичков о том, как установить скилы. Как думаете, что автор сделала с этим предупреждением? Правильно, ни-че-го. Оригинал здесь https://www.youtube.com/watch?v=w-ZESK23pRw

Skill наследует всё, что есть у агента

Когда вы устанавливаете skill, он не получает отдельный ограниченный набор прав — он автоматически работает с теми же возможностями, что и сам агент. А агенты сегодня имеют широкие права по умолчанию. Да, Claude Code запрашивает разрешение перед каждым опасным действием. Но у skill есть способ это обойти — одна строчка в файле:

allowed-tools: Bash(*)

Она говорит агенту: «выполняй любые команды без запроса разрешения у пользователя». После этого skill может запускать что угодно и без дополнительных подтверждений от пользователя. Этот способ подробно описан в исследовании Skill Issues: Compromising Claude Code — Reversec Labs.

После получения полного доступа к компьютеру, агент добирается до:

  • Файлов переменных окружения (.env) — там незашифрованные API-ключи, токены, пароли от баз данных, полное раздолье

  • Почты, WhatsApp, Telegram. Вспомните — отправляли ли вы фото карты и паспорта для бронирования билета, тура или визы? Если да, они теперь могут быть у злоумышленника.

Кстати, если у Claude Code изначально есть ограничение на доступ только к файлам проекта, то документация другого популярного ИИ-агента OpenClaw прямо предупреждает: «если sandbox не настроен явно (а по умолчанию он выключен), то агент работает с полными правами пользователя — то есть имеет доступ к тем же файлам, ключам и командам, что и сам пользователь».

Информация про права агента OpenClaw. Подробнее здесь https://docs.openclaw.ai/gateway/sandboxing

Информация про права агента OpenClaw. Подробнее здесь https://docs.openclaw.ai/gateway/sandboxing

Каждый третий skill в популярных маркетплейсах небезопасен

Давайте кратко посмотрим на результаты исследования экосистемы skills, которое в феврале 2026 года провела компания Snyk. 

Они проверили 3 984 skills с двух крупнейших маркетплейсов: ClawHub (все имеющиеся skills) и skills.sh (100 самых популярных). 

 Результаты: 

 13,4% skills (534 штуки) — минимум одна критическая проблема: вредоносный код, кража данных, бэкдор. 

36,8% skills (1 467 штук) — хотя бы одна уязвимость любой степени тяжести. 

76 skills — подтверждённый вручную вредоносный код: кража ключей, установка бэкдора, утечка данных. 

8 из этих 76 оставались в открытом доступе на момент публикации исследования. Сейчас все упомянутые в статье skills удалены из маркетплейсов и GitHub. 

Исследователи сравнивают текущую ситуацию со скилами с ранними днями npm-каталогов для JavaScript-разработчиков — периодом, который многие в индустрии называют диким западом экосистемных пакетов. Полный отчёт: snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub

Можно ли защититься?

И да и нет. В целом можно выделить 3 уровня защиты.

Уровень 1 — Максимальная защита. Ставим только то, что понимаем 

Если ничего не понимаем в программировании, ставим только текстовые скилы, без дополнительных расширений.

Открываем SKILL.md на гите и просто читаем глазами. В оригинале или через переводчик. 

Если в нем только читаемые инструкции без команд, ссылок на внешние ресурсы и непонятных символов — скорее всего, всё в порядке. 

Хороший пример: postgresql-code-review от GitHub. Файл содержит описание хороших и плохих примеров запросов на sql. В целом этот файл рекомендован к прочтению всем новичкам, работающим с базами данных.

Уровень 2 — Доверяйем проверенным источникам

Anthropic публикует официальные скилы в репозитории github.com/anthropics/skills. Скилы, встроенные непосредственно в Claude Code, доступны по умолчанию и проходят внутреннюю проверку. Это не гарантия абсолютной безопасности, но уровень доверия принципиально выше случайного скила с ClawHub.

Уровень 3 — Проверяем через специальные сканеры

Если скил очень нужен, но источник вызывает сомнения:

  • Snyk Skill Inspector — онлайн проверка от Snyk. Для проверки загружаем папку со скилом и получаем отчёт о безопасности

  • Cisco skill-scanner — утилита с открытым кодом, 2200+ звёзд на GitHub от известного разработчка Cisco.

Важно: и Snyk, и Cisco честно предупреждают, что методы атак развиваются быстрее, чем их детекторы. Сканер снижает риск, но не устраняет его полностью. И все-таки это лучше, чем ничего.

Многие исследователи сравнивают текущую ситуацию на рынке скилов с ранними днями npm пакетов JavaScript. Периодом, который многие в индустрии называют диким западом экосистемных пакетов». И когда системно будут закрыты дыры пока не понятно.

В общем, будьте осторожны :)