Praktické tipy 17. 7. 2026

Stáhneš si skill z GitHubu a otevřeš zadní vrátka do systému. Jak se bránit

AI skill je předpřipravený postup, který AI naučíš jednou a pak ho jen zavoláš jménem. Místo abys pokaždé vysvětloval, jak má vypadat cenová nabídka, jednou to nadefinuješ, uložíš jako skill a příště řekneš jen "udělej mi cenovou nabídku". AI ví přesně, co chceš. Hotovo. Jenže tahle síla má i odvrácenou stranu: když si stáhneš skill od cizího člověka z GitHubu, můžeš tím otevřít zadní vrátka do svého systému.

Není to sci-fi ani strašení. Je to reálné bezpečnostní riziko, o kterém se skoro nemluví, protože skills jsou zatím nová věc. Pojďme si to rozebrat prakticky - i s nástrojem, kterým to vyřešíš.

Proč jsou skills tak silné?

Skill je jedna z nejsilnějších věcí, co dneska v práci s AI existují. Tři důvody, proč:

  • Ušetří opakování. Postup nadefinuješ jednou, používáš pořád. Žádné vysvětlování od nuly při každém úkolu.
  • Jsou přenositelné. Skill si může zavolat i jiná AI. Není přilepený k jednomu nástroji.
  • Dají se sdílet. Napíšeš jeden dobrý skill a pošleš ho celé komunitě. A tady začíná ta méně romantická část.

V čem je bezpečnostní riziko cizích skillů?

Na GitHubu a na X/Twitteru je obrovské množství skillů zdarma od komunity. Většina je úplně v pohodě. Ale - a tohle je to důležité - skill není jen text, je to instrukce a často i kód, který se u tebe spustí.

Některé skilly v sobě nesou malý skriptík, který tiše odesílá data na cizí server. Nebo něco, co se snaží číst tvoje přihlašovací údaje - cookies z prohlížeče, klíče z Keychainu. Nebo příkaz typu "stáhni a spusť tenhle skript z internetu", který ti do systému propašuje cokoliv.

Bezpečnostní svět tomu říká útok na dodavatelský řetězec (supply chain). Ty důvěřuješ autorovi, autor tam ale schoval něco, co si nepřečteš, protože kdo čte 300 řádků cizího kódu, než ho pustí. A přesně na to spoléhají.

Jak poznáš, že je skill nebezpečný?

Ručně to poznáš těžko. Ale jsou tři konkrétní červené vlajky, které stojí za to hlídat vždycky:

  1. Čte citlivá místa. Skill sahá na cookies prohlížeče, na Keychain nebo na složky s klíči (.ssh, .secrets). Legitimní skill na psaní nabídek k tomu nemá důvod.
  2. Stahuje a spouští kód z internetu. Vzorce jako curl ... | sh nebo pip install https://... znamenají, že se u tebe spustí něco, co v tom skillu ani nevidíš.
  3. Posílá data ven. Zápis nebo odeslání tvých údajů na cizí adresu, kterou jsi nezadal ty.

Problém je, že tohle bys musel u každého skillu hledat sám. A to nikdo dělat nebude. Naštěstí to jde automatizovat.

Co je Skill Spector od NVIDIA?

NVIDIA to vzala vážně a vytvořila skill přímo na bezpečnostní kontrolu skillů. Jmenuje se Skill Spector (nebo SkillSpector). Je to statický, read-only scanner - jen si skill přečte a analyzuje, nic nespouští. Umí běžet i lokálně u tebe, bez posílání dat kamkoliv ven.

Jak to používám já v praxi: než nainstaluju jakýkoliv cizí skill nebo MCP server, proženu ho Skill Spectorem. Claude ho pak používá víceméně sám. Dobré ale je nekoukat jen na výsledné skóre, ale přečíst si samotné nálezy:

  • Reálná červená vlajka: nález typu "info_stealer" (čte cookies / Keychain) nebo "remote bootstrap execution" (stahuje a spouští kód z netu). Tady ruce pryč.
  • Falešný poplach: zásah nějakého klíčového slova v licenci nebo v ukázkových datech. To nic neznamená, jen to musíš rozlišit.

Kdy scanner nestačí (a co s tím)?

Buďme féroví - statická kontrola není stoprocentní ochrana:

  • Scanner zachytí známé vzorce. Opravdu chytře schovaný nebo obfuskovaný kód mu může utéct. Proto pořád platí zdravý rozum: instaluj od zdrojů, které mají historii a reputaci.
  • Skenuj i vlastní skilly, než je pošleš ven. Ať omylem nesdílíš něco, co u tebe funguje, ale u druhého by to bylo bráno jako podezřelé (třeba cestu k tvým souborům).
  • Druhá vrstva je oddělení práv - AI by neměla mít přístup k tvým klíčům a heslům. Ideálně kombinuj scanner (kontrola PŘED instalací) s hooky (tvrdá závora PŘI běhu).

Praktické pravidlo pro české firmy i freelancery

Ať jsi jednočlenná firma nebo tým, dej si jedno tvrdé pravidlo: žádný cizí skill ani MCP server se neinstaluje bez scanu. Zabere to pár vteřin, ušetří to potenciálně obří průšvih.

Pro firmu je to o to důležitější, že tam AI často sahá na data zákazníků. Jeden info-stealer schovaný v "šikovném" skillu z internetu a máš na krku únik dat, GDPR problém a ztrátu důvěry. Náklady na takový incident se v Česku běžně počítají ve statisících korun, nemluvě o pověsti.

Skills jsou skvělé, používám je denně a šetří mi hodiny. Ale ber je jako to, čím jsou - cizí kód, který pustíš k sobě domů. U domu si taky ověříš, komu dáváš klíče. U AI to platí dvojnásob.