
В прошлой статье говорили про использования LLM хакерами, и обещал как раз продолжение, как защищить свое рабочее пространство, ну в общем, к делу :)
Когда последний раз вы проверяли библиотеку на уязвимости? Или софт, что вы ставите и используете – проверяли? Ну, вот и я также – почти что никогда (раньше)
Суть вот в чем, мы в одной из прошлых статей то и обсуждали, что разработка своих скиллов – это естественная история, но и использование oss скилов – аналогично, особенно когда эти скиллы не просто MD файл, а полноценный инструмент взаимодействия
Но, проблема в том, что скилл это не конфиг и не просто “промпт” в SKILL.md – это буквально может быть и исполняемым кодом и самое важное – с твоими правами :)
Меня зовут Эдгар Сипки. Я инженер и более 10 лет работаю с backend-системами, AI / LLM-инструментами. Выступаю на AI Conf, TeamLead Conf, HighLoad, отбираю доклады на Golang Conf в программном комитете.
А в своём тг-канале делюсь прикладными AI-инструментами и подходами для разработки – подписывайтесь :)
Но, зачем мне боятся то скиллов?
Есть исследование на 42 447 скиллов с маркетплейсов, и в итоге 26.1% содержат уязвимости, 5.2% – скорее всего вредоносные. Но и это еще не все, каждый четвёртый – с дырой, f каждый двадцатый – закладка, к примеру промпт-инъекции, сбор env-переменных с твоими ключами, отправка контекста наружу, в общем полный набор
А, кстати, еще :)
Скиллы с исполняемыми скриптами уязвимы в 2.12 раза чаще, лежит в скилле .py или .sh – проверять обязательно стоит
Но, как говорится

Как защититься?
NVIDIA выкатили SkillSpector – сканер скиллов ДО установки, а ставится одной строкой:
uv tool install git+https://github.com/NVIDIA/skillspector.git
# альтернативы: сборка из исходников (git clone + make install) или Docker - см. README проекта
# (в PyPI пакета skillspector нет, pip/pipx install skillspector не сработает)
И дальше просто:
skillspector scan <https://github.com/owner/repo> --format terminal
Что умеет:
-
на вход – git-URL, zip, директория или одиночный
SKILL.md; -
64+ паттерна в 16+ категориях (в новых релизах уже 68/17): инъекции, эксфильтрация, тайпсквоттинг, MCP tool poisoning и пр.;
-
два этапа: быстрая статика (regex/AST/YARA/OSV.dev), а поверх – опциональный LLM-анализ для оценки намерения;
-
на выходе –
risk_score0-100, вердиктSAFE/CAUTION/DO_NOT_INSTALLи отчёт вterminal/json/markdown/sarif.
А сам-то сканер не словит инъекцию?

И вот тут у меня прокрались сомнения как раз таки, ведь в чем суть, сам сканер работает не просто проверяя по ключевым словам (но да, это конечно тоже) но и проверяет же также через llm, то первое о чем я задумался: если внутри скилла лежит злая инструкция, а SkillSpector скармливает его LLM – не уговорит ли скилл сканер сказать “всё чисто”? Короткий ответ – “нет”, и вот почему
-
Статика идёт первой и она детерминированная. Regex/AST/YARA/проверка зависимостей не “читают” инструкции – они матчат паттерны. Уговорить regex невозможно.
-
LLM здесь – классификатор, а не агент. У него нет инструментов, файловой системы и сети. Его единственный выход – структурный вердикт (JSON), он физически ничего не может “сделать” по просьбе скилла.
-
В промпте анти-джейлбрейк. Стадия намеренно защищена от “проигнорируй прошлые инструкции”.
-
Сама попытка инъекции – это улика. Текст вида “ignore previous instructions” триггерит паттерны Instruction Override / Hidden Instructions. То есть инъекция не прячется от сканера, а наоборот подсвечивает скилл.
SkillSpector обрабатывает содержимое скилла как данные для анализа, а не как команды к исполнению. Ровно этого не хватает уязвимым агентам – они принимают чужой текст за свои инструкции :)
P.S. Да, поэтому явно точно не стоит проверять скиллы своим же кодинг агентом
Короче говоря: сканер сдвигает шансы в твою пользу, но думать всё равно тебе :)
Автоматизация, автоматизация и снова автоматизация :)
Главная боль из исследования – не “нет инструмента”, а “я забываю им пользоваться”. Поэтому делаем так, чтобы проверка происходила сама, я рекомендую создать алиас который резолвит репо, прогоняет SkillSpector и ставит скилл, только если он прошёл:
# ~/.zshrc | ~/.bashrc
# deps: Node (npx) + uv (uv tool install git+https://github.com/NVIDIA/skillspector.git)
safeskill() {
local repo="$1"
[ -z "$repo" ] && { echo "usage: safeskill <owner/repo>"; return 2; }
echo "🔍 SkillSpector проверяет $repo ..."
skillspector scan "<https://github.com/$repo>" --format terminal
local scan_exit=$?
case "$scan_exit" in
0)
echo "✅ risk_score <= 50 - ставлю скилл"
npx skills add "$repo"
;;
1)
echo "⚠️ risk_score > 50 (DO_NOT_INSTALL) - смотри находки выше."
printf "Всё равно установить %s? [y/N] " "$repo"
read -r REPLY
case "$REPLY" in
[yY]|[yY][eE][sS])
echo "⚠️ ставлю несмотря на предупреждение скана"
npx skills add "$repo"
;;
*)
echo "Отменено."
return 1
;;
esac
;;
*)
echo "⛔ скан упал (exit=$scan_exit)"
return 2
;;
esac
}
Теперь вместо npx skills add owner/repo ты пишешь safeskill owner/repo – и в итоге тебе явно тяжелее продолбаться с этой историей
А если скан ругается, но ты всё равно хочешь поставить – алиас спросит подтверждение [y/N], так что финальное решение остаётся за тобой.
Алиас – это для рук. Но в эпоху antigravity, cursor agent mode, vs code agent и так далее, где ты уже даже прямого доступа к терминалу не имеешь – я сделал скилл, который заставит агента сам проверять новый скилл перед установкой :)
Что в итоге
Короче, скиллы – это суперсила, и отказываться от них глупо. А самая важная мысль, ребята, “разделяте данные и инструкции” ведь ровно это нехватает нам.
И самое важное, не забываете что скиллы и агенты часто работают имея полностью вшаи же права, так что не забывайте проверять.
Пусть агент остаётся 🐢, который думает, а не ⚡, который слепо исполняет :)
Автор: ZergsLaw


