Поставил ИИ-агенту новый скилл. «SEO-оптимизация», 400 звёзд, описание нормальное. Через сутки замечаю: сервер грузит процессор на 90%. Ночью. Когда никто не работает.
Оказалось - криптомайнер. Прямо внутри скилла.
Полез разбираться и нашёл исследование скиллов для ИИ-агентов. Из почти трёх тысяч навыков 341 оказался заражён. Каждый восьмой.
Что зашивают внутрь:
- Майнеры. Твой сервер тихо работает на чужой кошелёк.
- Воровство API-ключей. Все твои интеграции - OpenAI, платёжки, CRM - утекают.
- Бэкдоры. Кто-то получает полный доступ к твоей машине.
- Кейлоггеры. Всё, что ты вводишь, читает кто-то ещё.
Когда ставишь левое приложение на телефон - ну, оно видит твои фотки и контакты. Неприятно, но пережить можно. ИИ-агент - другой уровень. У него доступ к файлам, ключам, серверу. Он выполняет код. Заражённый скилл для агента - это не вирус на телефоне. Это чужой сотрудник с полным доступом ко всему офису.
Как отличить нормальный скилл от ловушки. Автор без имени и без GitHub-профиля. Закрытый код, который нельзя посмотреть. Название подозрительно похоже на популярный скилл, но с опечаткой. Требует root-доступ для задачи, которая в этом не нуждается. Видишь хотя бы два признака из четырёх - не ставь.
Мы привыкли, что магазин приложений - это безопасно. App Store проверяет, Google Play сканирует. А маркетплейсы скиллов для агентов - дикий запад. Никто не проверяет. Модерации нет. Ты сам себе антивирус.
Давать агентам навыки вслепую - это как нанять сотрудника по объявлению на заборе и сразу выдать ключи от сейфа.
Дискуссия