Cuidado com 'Skills' para IA: Como um download inocente pode roubar seus dados
A popularidade dos 'skills' para aprimorar agentes de IA traz riscos ocultos. Um simples download pode expor suas credenciais e dados pessoais, explorando a confiança dos usuários.
MundiX News·20 de junho de 2026·6 min de leitura·👁 5 views
Imagine a seguinte situação: você assiste a um vídeo no YouTube ensinando a configurar um assistente de IA para otimizar seu trabalho. O autor recomenda a instalação de alguns 'skills' – um para gerenciar e-mails, outro para auxiliar na codificação ('pair programming' ou 'vibe coding'), e um terceiro para edição de artigos. Ou, quem sabe, ele sugira baixar um repositório inteiro do GitHub com dezenas desses 'skills'. Afinal, quanto mais, melhor, certo?
O que você talvez não saiba é que, no momento da primeira execução, um desses 'skills' pode simplesmente ler arquivos sensíveis como ~/.aws/credentials (contendo chaves de acesso à Amazon Web Services) e ~/.config/yandex-cloud/config (chaves para o Yandex Cloud), e enviar essas informações para um servidor externo. Tudo isso sem qualquer solicitação de permissão adicional ou aviso ao usuário.
"Mas como isso é possível?", você pode se perguntar. A resposta é surpreendentemente simples: o 'skill' apenas executou uma instrução que estava oculta em um de seus arquivos. E isso não é uma mera teoria conspiratória. Em fevereiro de 2026, pesquisadores da Snyk, uma renomada empresa de cibersegurança, identificaram vulnerabilidades críticas em 13,4% dos 'skills' disponíveis em grandes marketplaces como Skills.sh e ClawHub.ai, prontos para download.
O que são 'skills' e por que representam um perigo?
'Skills' são, essencialmente, pacotes de instruções que expandem as capacidades de agentes de IA como Claude Code, OpenClaw, Cursor e GitHub Copilot. Eles funcionam como um guia detalhado, especificando o que e como realizar em uma determinada tarefa ou área de especialização. Na sua forma mais básica, um 'skill' pode ser apenas um arquivo de texto em formato Markdown (SKILL.md).
Infelizmente, muitos tutoriais no YouTube demonstram a facilidade de baixar e instalar esses 'skills', ignorando completamente os avisos de segurança que alertam para baixar apenas o que se tem certeza. O que pode dar errado? Vamos analisar.
Um 'skill' herda todas as permissões do agente ao qual está associado. Ao instalar um 'skill', ele não opera em um ambiente isolado com permissões restritas; pelo contrário, ele automaticamente assume as mesmas capacidades do agente principal. E os agentes de IA atuais, por padrão, possuem amplos privilégios.
Embora o Claude Code solicite permissão para ações consideradas perigosas, um 'skill' malicioso pode contornar essa proteção com uma única linha de código: allowed-tools: Bash(*). Essa instrução instrui o agente a executar quaisquer comandos sem a necessidade de aprovação do usuário. Uma vez concedido esse acesso irrestrito, o 'skill' pode executar qualquer coisa, sem confirmação adicional. Essa técnica é detalhada no estudo "Skill Issues: Compromising Claude Code" da Reversec Labs.
Com acesso total ao sistema, o agente pode então acessar: Arquivos de variáveis de ambiente (.env), onde chaves de API não criptografadas, tokens e senhas de bancos de dados podem ser facilmente encontrados; e aplicativos de comunicação como e-mail, WhatsApp e Telegram. Se você já compartilhou fotos de documentos de identificação para reservas, essas informações podem cair nas mãos de um cibercriminoso.
É importante notar que, enquanto o Claude Code possui restrições de acesso a arquivos, a documentação de outro agente popular, o OpenClaw, adverte explicitamente que, se o 'sandbox' não for configurado (e por padrão ele está desativado), o agente opera com os mesmos privilégios do usuário, tendo acesso a todos os arquivos, chaves e comandos.
Um em cada três 'skills' em marketplaces populares é inseguro
Um estudo realizado pela Snyk em fevereiro de 2026 analisou 3.984 'skills' dos marketplaces ClawHub (todos os 'skills' disponíveis) e skills.sh (os 100 mais populares), revelando dados preocupantes:
13,4% dos 'skills' (534 no total) apresentavam pelo menos um problema crítico, como código malicioso, roubo de dados ou backdoors.
36,8% dos 'skills' (1.467 no total) continham pelo menos uma vulnerabilidade de qualquer gravidade.
76 'skills' continham código malicioso confirmado manualmente, incluindo roubo de chaves, instalação de backdoors e vazamento de dados. Desses, 8 permaneceram publicamente acessíveis no momento da publicação do estudo. Todos os 'skills' mencionados foram removidos dos marketplaces e do GitHub.
Os pesquisadores comparam a situação atual dos 'skills' com os primórdios dos diretórios npm para desenvolvedores JavaScript, um período frequentemente descrito como o "Velho Oeste" dos pacotes de ecossistema.
É possível se proteger?
A resposta é um misto de sim e não, mas existem três níveis de proteção que podem ser adotados:
Nível 1 – Proteção Máxima: Instale apenas o que você entende
Se você não possui conhecimento aprofundado em programação, opte por instalar apenas 'skills' puramente textuais, sem extensões adicionais. Abra o arquivo SKILL.md no GitHub e leia seu conteúdo (ou use um tradutor). Se ele contiver apenas instruções legíveis, sem comandos complexos, links externos suspeitos ou caracteres incomuns, é provável que seja seguro. Um bom exemplo é o 'skill' postgresql-code-review do GitHub, que descreve boas e más práticas de consulta SQL, sendo recomendado para iniciantes em bancos de dados.
Nível 2 – Confie em Fontes Verificadas
A Anthropic publica 'skills' oficiais em seu repositório no GitHub (github.com/anthropics/skills). Os 'skills' integrados diretamente ao Claude Code passam por uma verificação interna. Embora não garantam segurança absoluta, o nível de confiança é significativamente maior do que em 'skills' aleatórios encontrados em marketplaces.
Nível 3 – Verifique com Scanners Especializados
Se um 'skill' é essencial, mas a fonte levanta dúvidas, utilize ferramentas como:
Snyk Skill Inspector: Uma ferramenta online da Snyk que permite o upload de pastas de 'skills' para análise de segurança.
Cisco Skill-Scanner: Uma utilidade de código aberto com mais de 2.200 estrelas no GitHub, desenvolvida por um engenheiro da Cisco.
É crucial entender que tanto a Snyk quanto a Cisco alertam que os métodos de ataque evoluem mais rapidamente do que as ferramentas de detecção. Esses scanners reduzem o risco, mas não o eliminam completamente. Ainda assim, são uma camada de proteção valiosa.
A situação atual do mercado de 'skills' é frequentemente comparada aos primórdios dos pacotes npm, um período de "Velho Oeste" para pacotes de ecossistema. Ainda não está claro quando as vulnerabilidades sistêmicas serão corrigidas. Portanto, a cautela é fundamental.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Imagine a seguinte situação: você assiste a um vídeo no YouTube ensinando a configurar um assistente de IA para otimizar seu trabalho. O autor recomenda a instalação de alguns 'skills' – um para gerenciar e-mails, outro para auxiliar na codificação ('pair programming' ou 'vibe coding'), e um terceiro para edição de artigos. Ou, quem sabe, ele sugira baixar um repositório inteiro do GitHub com dezenas desses 'skills'. Afinal, quanto mais, melhor, certo?
O que você talvez não saiba é que, no momento da primeira execução, um desses 'skills' pode simplesmente ler arquivos sensíveis como ~/.aws/credentials (contendo chaves de acesso à Amazon Web Services) e ~/.config/yandex-cloud/config (chaves para o Yandex Cloud), e enviar essas informações para um servidor externo. Tudo isso sem qualquer solicitação de permissão adicional ou aviso ao usuário.
"Mas como isso é possível?", você pode se perguntar. A resposta é surpreendentemente simples: o 'skill' apenas executou uma instrução que estava oculta em um de seus arquivos. E isso não é uma mera teoria conspiratória. Em fevereiro de 2026, pesquisadores da Snyk, uma renomada empresa de cibersegurança, identificaram vulnerabilidades críticas em 13,4% dos 'skills' disponíveis em grandes marketplaces como Skills.sh e ClawHub.ai, prontos para download.
O que são 'skills' e por que representam um perigo?
'Skills' são, essencialmente, pacotes de instruções que expandem as capacidades de agentes de IA como Claude Code, OpenClaw, Cursor e GitHub Copilot. Eles funcionam como um guia detalhado, especificando o que e como realizar em uma determinada tarefa ou área de especialização. Na sua forma mais básica, um 'skill' pode ser apenas um arquivo de texto em formato Markdown (SKILL.md).
Infelizmente, muitos tutoriais no YouTube demonstram a facilidade de baixar e instalar esses 'skills', ignorando completamente os avisos de segurança que alertam para baixar apenas o que se tem certeza. O que pode dar errado? Vamos analisar.
Um 'skill' herda todas as permissões do agente ao qual está associado. Ao instalar um 'skill', ele não opera em um ambiente isolado com permissões restritas; pelo contrário, ele automaticamente assume as mesmas capacidades do agente principal. E os agentes de IA atuais, por padrão, possuem amplos privilégios.
Embora o Claude Code solicite permissão para ações consideradas perigosas, um 'skill' malicioso pode contornar essa proteção com uma única linha de código: allowed-tools: Bash(*). Essa instrução instrui o agente a executar quaisquer comandos sem a necessidade de aprovação do usuário. Uma vez concedido esse acesso irrestrito, o 'skill' pode executar qualquer coisa, sem confirmação adicional. Essa técnica é detalhada no estudo "Skill Issues: Compromising Claude Code" da Reversec Labs.
Com acesso total ao sistema, o agente pode então acessar: Arquivos de variáveis de ambiente (.env), onde chaves de API não criptografadas, tokens e senhas de bancos de dados podem ser facilmente encontrados; e aplicativos de comunicação como e-mail, WhatsApp e Telegram. Se você já compartilhou fotos de documentos de identificação para reservas, essas informações podem cair nas mãos de um cibercriminoso.
É importante notar que, enquanto o Claude Code possui restrições de acesso a arquivos, a documentação de outro agente popular, o OpenClaw, adverte explicitamente que, se o 'sandbox' não for configurado (e por padrão ele está desativado), o agente opera com os mesmos privilégios do usuário, tendo acesso a todos os arquivos, chaves e comandos.
Um em cada três 'skills' em marketplaces populares é inseguro
Um estudo realizado pela Snyk em fevereiro de 2026 analisou 3.984 'skills' dos marketplaces ClawHub (todos os 'skills' disponíveis) e skills.sh (os 100 mais populares), revelando dados preocupantes:
13,4% dos 'skills' (534 no total) apresentavam pelo menos um problema crítico, como código malicioso, roubo de dados ou backdoors.
36,8% dos 'skills' (1.467 no total) continham pelo menos uma vulnerabilidade de qualquer gravidade.
76 'skills' continham código malicioso confirmado manualmente, incluindo roubo de chaves, instalação de backdoors e vazamento de dados. Desses, 8 permaneceram publicamente acessíveis no momento da publicação do estudo. Todos os 'skills' mencionados foram removidos dos marketplaces e do GitHub.
Os pesquisadores comparam a situação atual dos 'skills' com os primórdios dos diretórios npm para desenvolvedores JavaScript, um período frequentemente descrito como o "Velho Oeste" dos pacotes de ecossistema.
É possível se proteger?
A resposta é um misto de sim e não, mas existem três níveis de proteção que podem ser adotados:
Nível 1 – Proteção Máxima: Instale apenas o que você entende
Se você não possui conhecimento aprofundado em programação, opte por instalar apenas 'skills' puramente textuais, sem extensões adicionais. Abra o arquivo SKILL.md no GitHub e leia seu conteúdo (ou use um tradutor). Se ele contiver apenas instruções legíveis, sem comandos complexos, links externos suspeitos ou caracteres incomuns, é provável que seja seguro. Um bom exemplo é o 'skill' postgresql-code-review do GitHub, que descreve boas e más práticas de consulta SQL, sendo recomendado para iniciantes em bancos de dados.
Nível 2 – Confie em Fontes Verificadas
A Anthropic publica 'skills' oficiais em seu repositório no GitHub (github.com/anthropics/skills). Os 'skills' integrados diretamente ao Claude Code passam por uma verificação interna. Embora não garantam segurança absoluta, o nível de confiança é significativamente maior do que em 'skills' aleatórios encontrados em marketplaces.
Nível 3 – Verifique com Scanners Especializados
Se um 'skill' é essencial, mas a fonte levanta dúvidas, utilize ferramentas como:
Snyk Skill Inspector: Uma ferramenta online da Snyk que permite o upload de pastas de 'skills' para análise de segurança.
Cisco Skill-Scanner: Uma utilidade de código aberto com mais de 2.200 estrelas no GitHub, desenvolvida por um engenheiro da Cisco.
É crucial entender que tanto a Snyk quanto a Cisco alertam que os métodos de ataque evoluem mais rapidamente do que as ferramentas de detecção. Esses scanners reduzem o risco, mas não o eliminam completamente. Ainda assim, são uma camada de proteção valiosa.
A situação atual do mercado de 'skills' é frequentemente comparada aos primórdios dos pacotes npm, um período de "Velho Oeste" para pacotes de ecossistema. Ainda não está claro quando as vulnerabilidades sistêmicas serão corrigidas. Portanto, a cautela é fundamental.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
