--- title: "AI-skills zijn het nieuwe phishing — zo bescherm je je" author: Marc Diks date: 2026-03-23 modified: 2026-06-25 category: AI & Beveiliging reading_time: 8 min url: https://www.marcdiks.nl/blog/ai-skill-nooit-downloaden canonical: https://www.marcdiks.nl/blog/ai-skill-nooit-downloaden language: nl --- # AI-skills zijn het nieuwe phishing — zo bescherm je je ## Wat is een AI-skill? Claude beschikt over kennis maar blijft standaard in gesprek. Een skill verandert deze dynamiek door tools te bieden — het [maakt handelen mogelijk in plaats](/blog/de-gouden-eeuw-van-de-programmeur) van alleen discussie. Claude noemt dit een MCP-server (Model Context Protocol). Cursor of VS Code gebruiken de term "extension". ChatGPT noemde ze eerder "plugins". De terminologie varieert, maar het principe blijft consistent: een klein stukje software dat je installeert en dat jouw AI-assistent dan kan gebruiken. Een praktisch voorbeeld: je installeert een Notion-skill, waardoor Claude nieuwe pagina's in projectmappen met de notities van vandaag kan maken. In plaats van alleen conversatie te voeren, onderneemt [Claude actie: Notion openen,](/blog/shadow-ai-blokkeren-werkt-niet) pagina's maken, tekst invoegen. Een Google Calendar-skill stelt afspraken in tijdens agendadiscussies. Een Slack-skill maakt het opvragen, samenvatten en verzenden van berichten mogelijk. Het voordeel is substantieel — skills veranderen chatbots in echte digitale medewerkers. Dit verklaart hun populariteit. GitHub en gespecialiseerde marktplaatsen stromen over van gratis skills voor vrijwel elke denkbare service. Het probleem: bepalen of skills veilig zijn. ## Hier begint het ongemakkelijke deel Een skill is gewoon code. Code geschreven door onbekende personen, gepubliceerd op platforms met minimaal toezicht, en uitgevoerd op jouw computer — met toegang tot bestanden, API-sleutels, e-mail en cloud-opslag. Het impliciete vertrouwen dat ontstaat bij het installeren van skills is enorm. Hun risicoprofiel verschilt fundamenteel van traditionele software. Traditionele malware moet jou overtuigen ergens op te klikken. Een vergiftigde skill vereist geen overtuiging. De aanval verbergt zich in tool-beschrijvingen — tekst onzichtbaar voor gebruikers maar trouw uitgevoerd door AI. Beveiligingsonderzoekers noemen dit "tool poisoning", en het ontsnapt aan menselijke codereview. ## Drie gedocumenteerde incidenten **De gestolen e-mails** In september 2025 ontdekte beveiligingsbedrijf Koi Security een kwaadaardige MCP-server op npm: _postmark-mcp_. Oppervlakkig imiteerde het de legitieme Postmark e-mailserver. Het verschil: één regel code die een stille BCC van elke uitgaande e-mail naar een adres van de aanvaller stuurde. Wachtwoordresets, facturen, interne memo's, offertes — alles. Gedownload 1.643 keer voordat het werd verwijderd, beïnvloedde het pakket ongeveer 300 organisaties. **De $500.000 gestolen via een nepextensie** Een blockchain-ontwikkelaar verliest een half miljoen in cryptovaluta. Hij zoekt op Open VSX Marketplace naar een Solidity-extensie voor smart contract-ontwikkeling. De extensie zag er legitiem uit — maar de ranking was te danken aan een simpele truc: de nepversie was recenter bijgewerkt dan het echte pakket. De nepextensie installeerde stil afstandsbedieningssoftware die cryptovaluta-portefeuilles leegmaakte. **1,5 miljoen geïnfecteerde VS Code-installaties** Begin 2026 ontdekten beveiligingsonderzoekers twee VS Code-extensies die zich voordeden als Chinese ChatGPT-integraties, met respectievelijk 1,34 miljoen en 150.000 installaties. Beide bevatten dezelfde spyware: ze stuurden de volledige inhoud van elk geopend bestand naar externe servers, en registreerden alle codewijzigingen. De code functioneerde precies zoals geadverteerd — plus nog veel meer. ## De schaal van het probleem Dit zijn geen geïsoleerde incidenten. Beveiligingsbedrijf Wiz analyseerde Forbes AI 50-bedrijven en vond dat **65% aantoonbaar API-sleutels en andere gevoelige gegevens had gelekt via GitHub**. Equixly testte honderden openbaar beschikbare MCP-servers en concludeerde dat **43% een command injection-kwetsbaarheid bevatte**. OWASP rangschikt prompt injection als eerste in de LLM Top 10 van 2025, expliciet stellende dat er geen afdoende preventiemethode bestaat — je kunt het risico beperken, maar niet volledig wegnemen. Het beeld is duidelijk: het AI-tooling-ecosysteem groeit sneller dan het beveiligd wordt. ## Wat kun je doen? Optie één: laat Claude de code beoordelen Een voor de hand liggende eerste stap is het beoordelen van code voordat deze wordt gedownload. Bezoek de GitHub-pagina, kopieer broncode, plak deze in Claude en stel gerichte vragen. Vraag Claude: _"Analyseer deze code. Welke externe verbindingen maakt deze code? Welke bestanden of omgevingsvariabelen worden uitgelezen? Zijn er verborgen netwerkaanvragen?"_ Dit is beter dan blinde installatie, maar draagt beperkingen: je vertrouwt nog steeds op code van een onbekende auteur, en grondige analyse mist soms subtiele aanvalsvectoren — vooral met dynamisch geladen malware of post-update activering. ## De echte oplossing: laat Claude de skill namaken Dit is de kern van dit artikel. De sterkste bescherming tegen vergiftigde skills is het nooit downloaden ervan. In [plaats daarvan vraag je Claude](/blog/stack-overflow-is-dood) om de [functionaliteit opnieuw op te bouwen](https://www.marcdiks.nl/blog/software-on-demand-je-vraagt-het-het-bestaat). Dat is verrassend praktisch, want de meeste skills blijven conceptueel eenvoudig. Ze verbinden één service met Claude, lezen iets ergens en schrijven iets ergens. Stel dat je een skill wilt waarmee Claude een Notion-database kan benaderen. In plaats van willekeurige _notion-mcp_ packages van onbekende GitHub-ontwikkelaars te downloaden, vraag je Claude: _"Bouw een eenvoudige MCP-server die verbinding maakt met de Notion API. Ik wil kunnen vragen om een pagina aan te maken en bestaande pagina's op te halen. Gebruik de officiële Notion API-documentatie."_ Claude construeert de skill. Je ziet elke regel. Je begrijpt wat het doet — of vraagt om uitleg totdat begrip ontstaat. Geen verborgen afhankelijkheden. Geen code-updates die toekomstige malware installeren. Bij een gedownloade skill vertrouw je op de integriteit van een onbekende en op de controles van een platform dat bewezen tekortschiet. Bij een door Claude gebouwde skill is de code van jou, transparant, en gebaseerd op officiële API-documentatie. ## "Maar ik kan niet programmeren" Precies het punt. Je hoeft niet te coderen. Beschrijf eenvoudig wat je wilt. Claude vertaalt beschrijvingen in werkende code. Als iets faalt, beschrijf het foutbericht — Claude lost het op. [Vibe coding](https://www.marcdiks.nl/blog/iedereen-kan-bouwen-maar-niet-iedereen-heeft-iets-te-zeggen) — bouwen met AI zonder formele programmeerkennis — wordt steeds toegankelijker. Vereiste vaardigheden zijn niet technisch. Ze betreffen het duidelijk beschrijven van intenties, sceptisch blijven ten aanzien van downloads en nieuwsgierig blijven naar mechanismen. De ironie: de AI-tools die aanvallers proberen te compromitteren zijn precies dezelfde tools die jij kunt gebruiken om jezelf tegen die aanvallen te beschermen. ## Praktisch: hoe beoordeel je een AI-skill? Bij het ontdekken van interessante skills online: **1. Controleer de bron.** Is de skill beschikbaar via officiële kanalen — Anthropics MCP-serverlijst, de extensiemarktplaats van je tool, of een bekende organisatie? **2. Controleer populariteit.** Hoog gebruikersaantal en actief onderhoud suggereren lager risico. **3. Onzeker?** Kopieer broncode en vraag Claude's veiligheidsbeoordeling. **4. Voorkeur?** Beschrijf gewenste functionaliteit voor Claude en en laat hem het construeren. Dit is altijd veiliger. De enige uitzondering: wanneer skills te complex zijn om opnieuw op te bouwen én je de bron volledig vertrouwt. Maar die situatie is zeldzamer dan je denkt. ## De bredere les We betreden een tijdperk waarin AI-skills aanvalsvectoren worden, vergelijkbaar met e-mailbijlagen in de jaren 90. Toen leerde iedereen: vermijd het openen van bijlagen van onbekenden. Nu: download geen AI-skills van onbekende bronnen. Één essentieel verschil. Vroeger bestonden alternatieven niet. Nu doen ze dat: je kunt Claude verzoeken de functionaliteit zelf op te bouwen. Vorige generaties hadden deze optie niet. _De beste skill is de skill die je begrijpt. En de snelste manier om een skill te begrijpen is hem zelf te laten bouwen._ ## Stand van zaken — juni 2026: de aanval die ik beschreef gebeurde opnieuw Een paar weken na dit artikel gebeurde het opnieuw, en groter. In mei 2026 werd de Nx Console-extensie voor VS Code kort gekaapt. Een verified publisher met 2,2 miljoen installaties, dus precies het type skill waarvan je denkt dat het veilig is. De kwaadaardige versie stond ongeveer elf minuten live op de officiële VS Code Marketplace. Genoeg. Het detail dat mijn punt bevestigt: de schadelijke code was vermomd als een routineuze MCP-setup. Een aanvallersgroep die zichzelf TeamPCP noemt, oogstte GitHub-tokens, npm- en AWS-sleutels, 1Password-kluizen en zelfs de configuratie van Claude Code, en wist daarmee ongeveer 3.800 interne repositories van GitHub zelf buit te maken. Een verified publisher en miljoenen downloads zijn dus geen bewijs van veiligheid. De les is niet veranderd, alleen scherper geworden. OWASP zet prompt injection nog steeds op nummer één in zijn LLM Top 10 van 2025, en MCP tool poisoning staat er nu expliciet bij als supply chain-risico. De veiligste skill blijft de skill die je begrijpt omdat je hem zelf door Claude liet bouwen. Sinds mei 2026 is dat geen voorzichtigheid meer, maar gewoon hygiëne. --- _Ken je iemand die skills installeert zonder na te denken? Stuur dit door. Of reageer: heb jij weleens een twijfelachtige extensie geïnstalleerd?_