Wat is een AI-skill?
Claude beschikt over kennis maar blijft standaard in gesprek. Een skill verandert deze dynamiek door tools te bieden — het maakt handelen mogelijk in plaats (opent in nieuw venster) van alleen discussie.
Claude noemt dit een MCP-server (Model Context Protocol). Cursor of VS Code gebruiken de term "extension." ChatGPT noemde ze eerder "plugins." De terminologie varieert, maar het principe blijft consistent: een klein stukje software dat je installeert en dat jouw AI-assistent dan kan gebruiken.
Een praktisch voorbeeld: je installeert een Notion-skill, waardoor Claude nieuwe pagina's in projectmappen met vandaag's notities kan maken. In plaats van alleen conversatie te voeren, onderneemt Claude actie: Notion openen, pagina's maken, tekst invoegen. Een Google Calendar-skill stelt afspraken in tijdens agendadiscussies. Een Slack-skill maakt opvraging van berichten, samenvatting en verzending mogelijk.
Het voordeel is substantieel — skills veranderen chatbots in echte digitale medewerkers. Dit verklaart hun populariteit. GitHub en gespecialiseerde marktplaatsen stromen over van gratis skills voor vrijwel elke denkbare service.
Het probleem: bepalen of skills veilig zijn.
Hier begint het ongemakkelijke deel
Een skill is gewoon code. Code geschreven door onbekende personen, gepubliceerd op platforms met minimale toezicht, en uitgevoerd op jouw computer — met toegang tot bestanden, API-sleutels, e-mail en cloud-opslag.
Het impliciete vertrouwen dat ontstaat bij het installeren van skills is enorm. Hun risicoprofiel verschilt fundamenteel van traditionele software. Traditionele malware moet jou overtuigen ergens op te klikken. Een vergiftigde skill vereist geen overtuiging. De aanval verbergt zich in tool-beschrijvingen — tekst onzichtbaar voor gebruikers maar trouw uitgevoerd door AI. Beveiligingsonderzoekers noemen dit "tool poisoning," en het ontsnapt aan menselijke codereview.
Drie gedocumenteerde incidenten
De gestolen e-mails
In september 2025 ontdekte beveiligingsbedrijf Koi Security een kwaadaardige MCP-server op npm: postmark-mcp. Oppervlakkig imiteerde het de legitieme Postmark e-mailserver. Het verschil: één regel code die een stille BCC van elke uitgaande e-mail naar een adres van de aanvaller stuurde. Wachtwoordresets, facturen, interne memo's, offertes — alles. Gedownload 1.643 keer voordat het werd verwijderd, beïnvloedde het pakket ongeveer 300 organisaties.
De $500.000 gestolen via een nep-extensie
Een blockchain-ontwikkelaar verliest een half miljoen in cryptovaluta. Hij zoekt op Open VSX Marketplace naar een Solidity-extensie voor smart contract-ontwikkeling. De extensie zag er legitiem uit — maar de ranking was te danken aan een simpele truc: de nep-versie was recentelijker bijgewerkt dan het echte pakket. De nepextensie installeerde stil afstandsbedieningssoftware die cryptovaluta-portefeuilles leegmaakten.
1,5 miljoen geïnfecteerde VS Code-installaties
Begin 2026 ontdekten beveiligingsonderzoekers twee VS Code-extensies die zich voordeden als Chinese ChatGPT-integraties, met respectievelijk 1,34 miljoen en 150.000 installaties. Beide bevatten identieke spyware: ze stuurden de volledige inhoud van elk geopend bestand naar externe servers, en registreerden alle codewijzigingen. De code functioneerde precies zoals geadverteerd — plus nog veel meer.
De schaal van het probleem
Dit zijn geen geïsoleerde incidenten.
Beveiligingsbedrijf Wiz analyseerde Forbes AI 50-bedrijven en vond dat 65% aantoonbaar API-sleutels en andere gevoelige gegevens hadden gelekt via GitHub. Equixly testte honderden openbaar beschikbare MCP-servers en concludeerde dat 43% een command injection-kwetsbaarheid bevatte.
OWASP rangschikt prompt injection eerste in hun 2025 LLM Top 10, expliciet stellende dat er geen afdoende preventiemethode bestaat — je kunt het risico beperken, maar niet volledig wegnemen.
Het beeld is duidelijk: het AI-tooling-ecosysteem groeit sneller dan het beveiligd wordt.
Wat kun je doen? Optie één: laat Claude de code beoordelen
Een voor de hand liggende eerste stap betreft het beoordelen van code voordat deze wordt gedownload. Bezoek de GitHub-pagina, kopieer broncode, plak deze in Claude en stel gerichte vragen.
Vraag Claude: "Analyseer deze code. Welke externe verbindingen maakt deze code? Welke bestanden of omgevingsvariabelen worden uitgelezen? Zijn er verborgen netwerkaanvragen?"
Dit is beter dan blinde installatie, maar draagt beperkingen: je vertrouwt nog steeds op code van een onbekende auteur, en grondige analyse mist soms subtiele aanvalsvectoren — vooral met dynamisch geladen malware of post-update activering.
De echte oplossing: laat Claude de skill namaken
Dit is de kern van dit artikel.
De sterkste bescherming tegen vergiftigde skills is het nooit downloaden ervan. In plaats daarvan vraag je Claude (opent in nieuw venster) om de functionaliteit opnieuw op te bouwen. Verrassend praktisch — de meeste skills blijven conceptueel eenvoudig. Ze verbinden één service met Claude. Ze lezen iets ergens. Ze schrijven iets ergens.
Stel dat je een skill wilt waarmee Claude een Notion-database kan benaderen. In plaats van willekeurige notion-mcp packages van onbekende GitHub-ontwikkelaars te downloaden, vraag je Claude: "Bouw een eenvoudige MCP-server die verbinding maakt met de Notion API. Ik wil kunnen vragen om een pagina aan te maken en bestaande pagina's op te halen. Gebruik de officiële Notion API-documentatie."
Claude construeert de skill. Je ziet elke regel. Je begrijpt wat het doet — of vraagt om uitleg totdat begrip ontstaat. Geen verborgen afhankelijkheden. Geen code-updates die toekomstige malware installeren.
Bij een gedownloade skill vertrouw je op de integriteit van een onbekende en op de controles van een platform dat bewezen tekortschiet. Bij een door Claude gebouwde skill is de code van jou, transparant, en gebaseerd op officiële API-documentatie.
"Maar ik kan niet programmeren"
Precies het punt.
Je hoeft niet te coderen. Beschrijf eenvoudig wat je wilt. Claude vertaalt beschrijvingen in werkende code. Als iets faalt, beschrijf het foutbericht — Claude lost het op.
Vibe coding — bouwen met AI zonder formele programmeerkennis — wordt steeds toegankelijker. Vereiste vaardigheden zijn niet technisch. Ze betreffen duidelijk intenties beschrijven, skeptisch blijven ten aanzien van downloads en nieuwsgierig blijven naar mechanismen.
De ironie: de AI-tools die aanvallers proberen te compromitteren zijn precies dezelfde tools die jij kunt gebruiken om jezelf tegen die aanvallen te beschermen.
Praktisch: hoe beoordeel je een AI-skill?
Bij het ontdekken van interessante skills online:
1. Controleer de bron. Is de skill beschikbaar via officiële kanalen — Anthropic's MCP-serverlijst, je tool's extension marketplace, of een bekende organisatie?
2. Controleer populariteit. Hoog gebruikersaantal en actief onderhoud suggereren lager risico.
3. Onzeker? Kopieer broncode en vraag Claude's veiligheidsbeoordeling.
4. Voorkeur? Beschrijf gewenste functionaliteit voor Claude en zet hem aan het te construeren. Dit is altijd veiliger.
De enige uitzondering: wanneer skills te complex zijn om opnieuw op te bouwen én je de bron volledig vertrouwt. Maar die situatie is zeldzamer dan je denkt.
De bredere les
We betreden een era waar AI-skills aanvalsvectoren worden vergelijkbaar met e-mailbijlagen in de jaren 90. Toen leerde iedereen: vermijd het openen van bijlagen van onbekenden. Nu: download geen AI-skills van onbekende bronnen.
Één essentieel verschil. Vroeger bestonden alternatieven niet. Nu doen ze dat: je kunt Claude verzoeken de functionaliteit zelf op te bouwen. Vorige generaties hadden deze optie niet.
De beste skill is de skill die je begrijpt. En de snelste manier om een skill te begrijpen is hem zelf te laten bouwen.
Ken je iemand die skills installeert zonder na te denken? Stuur dit door. Of reageer: heb jij weleens een twijfelachtige extensie geïnstalleerd?