Segurança de Skills: Como Verificar Antes de Instalar
Segurança de Skills
A comunidade já encontrou skills maliciosos no ecossistema. Aprenda a se proteger.
⚠ O Risco
Skills têm acesso poderoso:
- Podem executar comandos no seu sistema
- Acessam arquivos e dados
- Podem fazer requisições de rede
- Rodam com suas permissões
Um skill malicioso pode:
- Roubar dados sensíveis
- Instalar malware
- Minerar crypto
- Exfiltrar informações
Sim Como Verificar
1. Leia o Código
Antes de instalar, sempre leia:
# Veja o conteúdo do skill
cat SKILL.md
ls -la scripts/
cat scripts/*.sh
Red flags:
- Comandos
curl | bash - Downloads de URLs desconhecidas
- Código ofuscado/minificado
- Acesso a diretórios sensíveis (~/.ssh, ~/.aws)
2. Verifique o Autor
- Perfil tem histórico?
- Outros projetos conhecidos?
- Comunidade confia?
3. Cheque a Popularidade
- Quantos downloads/stars?
- Há issues reportados?
- Reviews da comunidade?
4. Use Sandbox
Teste em ambiente isolado primeiro:
# Docker ou VM
docker run -it --rm ubuntu
# Instale e teste lá
Configurações de Segurança
Limite Permissões
# config.yaml
security:
allowedPaths:
- ~/projects
- ~/documents
blockedCommands:
- rm -rf
- curl | bash
- wget -O- | sh
Revise Antes de Executar
# Exige confirmação para comandos perigosos
exec:
requireApproval:
- sudo
- rm
- chmod
Checklist de Segurança
Antes de instalar qualquer skill:
- Li o SKILL.md completamente
- Verifiquei todos os scripts
- Pesquisei o autor
- Não há código ofuscado
- Não faz downloads suspeitos
- Comunidade aprova
- Testei em sandbox (se crítico)
🚨 Reportando Skills Maliciosos
Encontrou algo suspeito?
- Não instale
- Reporte no GitHub/Discord
- Documente o que encontrou
- Alerte a comunidade
Boas Práticas
- Atualize regularmente - Correções de segurança
- Use skills populares - Mais olhos = mais seguro
- Monitore logs - Veja o que está rodando
- Backup - Sempre tenha backup dos dados
- Mínimo privilégio - Só dê acesso ao necessário