Tilbake til bloggen
AISecurityClaudeStrategy

Ikke installer tilfeldige AI-skills. Her er hva som faktisk kan skje.

Her er noe de fleste som bruker AI-agenter ikke har lagt merke til ennå: når du installerer en "skill" til Claude Code, Cursor, OpenClaw eller en hvilken som helst annen agent, kjører den med fulle rettigheter til AI-en din.

Det betyr: shell-tilgang på maskinen. Lese- og skrivetilgang til filene dine. Tilgang til hemmeligheter i miljøvariabler. Mulighet til å sende meldinger gjennom kontoene dine. Av og til hukommelse som varer mellom økter.

Alt du trenger å gjøre er å trykke installer.

Tallene ingen vil lese

Snyk gjorde den første fullstendige gjennomgangen av AI-skill-økosystemet i februar. De skannet nesten 4 000 skills fra de største markedsplassene.

13,4 prosent hadde kritiske sikkerhetshull. Omtrent én av sju. 36,8 prosent hadde minst én sikkerhetsfeil. Over en tredjedel. De bekreftet 76 skadelige skills laget for å stjele passord, installere bakdører, hente ut data. Åtte av dem lå fortsatt åpent på markedsplassen da rapporten ble publisert.

Hva skal til for å publisere en ny skill på disse plattformene? En markdown-fil og en GitHub-konto som er én uke gammel. Ingen signering. Ingen sikkerhetsgjennomgang. Ingen sandkasse.

Høres kjent ut? Det er de tidlige årene til npm og PyPI om igjen. Forskjellen denne gangen er at pakkene kjører med AI-ens rettigheter — som betyr dine rettigheter.

Et ekte eksempel fra felten

For noen måneder siden fant Datadogs sikkerhetsteam en skill kalt Clawsights. Den ga seg ut for å være et leaderboard for Claude Code-brukere — installer skillen vår, se hvor du ligger an, del statistikken din. Hyggelig idé.

Det den faktisk gjorde: hentet GitHub-autentiseringstokenen din via `gh auth token` og lastet den opp til angriperens server, kamuflert som "opplasting av en bruksrapport." Hvis tokenen hadde tilgang til organisasjonen din, private repoer eller produksjonshemmeligheter, hadde angriperen det også.

Modellen — Claude — fanget det faktisk opp i noen tester. Leste skillen, gjenkjente passordtyveriet, nektet å kjøre den. Det er forsvaret du vil ha.

Men her er det smartere angrepet: skills støtter noe som heter dynamic context. Linjer i en skill som starter med `!` kjøres før modellen i det hele tatt får se den ferdige prompten. Hvis angriperen legger passordtyveriet i en dynamic context-linje, har modellen ingen sjanse til å avvise det. Kommandoen er allerede kjørt før modellen får ordet. Når modellen reagerer, er dataene borte.

Hva du faktisk bør gjøre

Tre ting, hvis du bruker AI-agent-skills:

  1. Sjekk hver skill før du installerer den. Åpne SKILL.md-filen. Les den. Se etter `curl`, `wget`, `gh auth`, `~/.ssh`, miljøvariabler, base64-dekodede kommandoer, passordbeskyttede zip-filer. Hvis du ikke forstår hva en linje gjør, ikke installer skillen.

2. Sjekk forfatteren. En GitHub-konto som er én uke gammel med én skill er ikke det samme som en organisasjon med ett år med ren historikk.

3. Behandle repoer med `.claude/`-mapper som tredjepartspakker. Når du kloner andres prosjekt og åpner det i Claude Code, installerer du alle skills som ligger i det repoet. "Trust this workspace?"-meldingen er der av en grunn. Ta den på alvor.

Det større bildet

Vi ser at supply chain-angrep flytter seg over på AI-verktøy, i sanntid. Den samme oppskriften som rammet npm, PyPI og typosquatting kommer til å ramme AI-skill-markedsplasser også — bare at denne gangen kjører nyttelasten med AI-ens rettigheter, ikke i en innelukket Node-prosess.

Bekvemmeligheten av å si "beskriv hva du vil og la AI installere den rette skillen" kommer til å bli et av de største sikkerhetshullene de neste to årene.

Vær bevisst. Les det du installerer. Og ikke overlat vurderingen din til en markedsplass som ikke kontrollerer noe.