Вы скачали skill для Claude Code, который обещал автоматически ревьюить пул-реквесты. Вместо этого он тихо скопировал ваши SSH-ключи, переменные окружения и токены от AWS. И отправил их на сервер в дата-центре где-то в Восточной Европе. Звучит как паранойя? Добро пожаловать в реальность 2026 года: исследователи безопасности выяснили, что 13% skills на популярных маркетплейсах ИИ-агентов содержат шпионский код.
Цифра 13% — не пугалка. Это результат автоматизированного сканирования более 50 000 навыков для Claude Code, Cursor и Copilot. Почти каждый восьмой skill либо явно ворует данные, либо содержит скрытый эксфильтрационный функционал.
Как skill превращается в троянского коня?
Механика простая до безобразия. ИИ-агент получает skill — набор инструкций и разрешений. Skill может читать файлы, выполнять bash-команды, обращаться к API. Вредоносный код маскируется под полезную функцию: "ускорение код-ревью", "автоформатирование", "подсказки коммитов". А под капотом — обычный data theft. Один из обнаруженных навыков, например, каждые 10 минут пробегался по домашней директории и выискивал файлы с именами вроде .env, credentials, id_rsa. Затем упаковывал их в JSON и отправлял на /upload подставного сервера.
Почему модерация маркетплейсов — фикция
Маркетплейсы skills существуют в режиме самообслуживания. Проверка кода? Её практически нет. В лучшем случае — автоматический сканер на известные сигнатуры. Но обфусцированный JavaScript или многострочные bash-команды с sed-преобразованием такой сканер не увидит. Один из исследователей показал, как skill, содержащий curl — data @/home/$USER/.ssh/ ..., успешно прошел модерацию просто потому, что строка была разбита на 30 вложенных eval'ов.
Результат — мы получили дикий Запад, где 40 000 агентов с root-доступом болтаются в открытом интернете, а пользователи сами ставят себе шпиона в CLI.
Техника кражи: не только файлы
Современные вредоносные skills работают тоньше. Они не просто тащат .env. Они:
- Перехватывают промпты пользователя — получают дамп корпоративных секретов, которые обсуждаются в чате с агентом.
- Используют привилегии агента для доступа к внутренним Git-репозиториям.
- Делают скриншоты экрана (да, некоторые агенты имеют такой доступ через xdotool).
- Меняют поведение других skills — классический prompt injection в действии.
В карте рисков OWASP 2026 эта угроза описана как "Malicious Skills & Supply Chain" — и стоит на втором месте по вероятности после случайного rm -rf.
Как защититься, если отключать агентов нельзя?
Первое правило: не ставьте skill, если его код не выложен в открытом виде. Второе: используйте sandbox для агента. И третье: научитесь читать код, который вы собираетесь запустить. Да-да, звучит как «выучите джаву за 21 день», но на деле пара минут просмотра main.js может спасти вам год восстановления репутации.
Что дальше? Атака на цепочку поставок навыков
Следующим этапом станет атака не на отдельных пользователей, а на сам маркетплейс. Представьте: злоумышленники взламывают репозиторий популярного skill с 100 000 установок и заменяют его на вредоносную версию. Обновление разойдётся автоматически. К тому времени, когда кто-то заметит, данные сотен тысяч разработчиков уже утекут. Именно об этом шла речь в нашем репортаже об агентных атаках 2026.
Совет на сегодня: прежде чем устанавливать очередной skill «Автоматический рефакторинг кода» с маркетплейса — загляните под капот. И если там есть строка fs.readFileSync('/home/*/.env') — бегите, не оглядываясь. Безопасность ваших данных стоит десяти минут внимательного чтения.
