Скачал скиллы из YouTube — лишился данных: как мошенники крадут через ИИ-навыки

Вы посмотрели ролик на YouTube, где блогер советует скачать пару-тройку скилов для работы с почтой, вайбкодинга или редактирования статей, а то и целый репозиторий с GitHub — и радостно устанавливаете их. Проблема в том, что такие навыки могут быть вредоносными: они получают доступ к вашим файлам, переписке, API-ключам и без стеснения отправляют данные злоумышленнику.

Механизм прост: навыки — это по сути скрипты или инструменты с доступом к окружению агента. Если автор навыка зашифровал в нём отправку содержимого почты или кражу cookies, ваш ИИ-ассистент сам сольёт всё, что вы ему доверили. Никакие заверения в комментариях или количество звёзд на GitHub не гарантируют безопасность — мошенники умеют подделывать рейтинг.

Чтобы не попасться, проверяйте код навыков перед установкой (хотя бы бегло), используйте только проверенные источники и не давайте агентам доступ к критичным данным без явной необходимости. А лучше — собирайте навыки сами или берите из официальных маркетплейсов, где есть модерация.