Extensions die AI-systemen nieuwe mogelijkheden geven - zoals toegang tot je CRM, financiële data, of interne wiki. Werkt vergelijkbaar met browser extensions.

Welke AI-tools gebruiken skills?

Claude, ChatGPT, Codex CLI, VS Code, GitHub Copilot, Cursor, en tientallen andere tools. Skills zijn sinds december 2025 een open standaard.

Wat is het echte risico?

Je weet niet waar je data heen gaat. Bij 12% van skills gaat data naar servers die je niet kent. Je kunt niet aantonen dat je compliant bent als iemand het vraagt.

Is dit alleen een probleem voor developers?

Nee. Claude Cowork richt zich op non-developers. Marketing, finance, HR, operations - allemaal gebruiken ze AI-tools met skills.

Hoe bescherm ik mijn bedrijf?

Inventariseer wat je team gebruikt, stel een goedkeuringsproces in voor nieuwe skills, en zorg dat je kunt aantonen waar data heen gaat.

AI Skills Security: 12% van skills is malicious

JumpScale
Ai, Security
3 februari 2026

AI-tools met skills worden nu overal gebruikt. Je team ook. Maar 12% van die skills is malicious - ontworpen om data te stelen. Dit artikel legt uit wat skills zijn, waarom het risico verder gaat dan developers, en hoe je er grip op krijgt.

Inhoudsopgave

Je marketingmanager installeert een ChatGPT-plugin om social posts te schedulen. Je finance lead gebruikt een Claude skill voor rapportages. Je HR-manager laat AI CV’s screenen. En je developer werkt met Cursor voor code review.

Ze gebruiken allemaal “skills” - extensies die AI-systemen nieuwe mogelijkheden geven. En ze lopen allemaal hetzelfde risico: 12% van die skills is malicious. Ontworpen om data te stelen, systemen te infiltreren, of je bedrijfsgeheimen door te spelen aan concurrenten.

Dit is geen developer-probleem. Dit is een bedrijfsprobleem.

Wat zijn AI skills eigenlijk?

Denk aan browser extensions, maar dan voor AI-systemen. Ze geven je AI toegang tot extra functionaliteit: je CRM, je financiële data, je interne wiki, je productiesystemen.

En het is geen niche-technologie meer. In oktober 2025 lanceerde Anthropic skills voor Claude. In december adopteerde OpenAI ze in ChatGPT en hun developer tools. Google volgde, Microsoft ook. In januari 2026 richtten ze samen de Agentic AI Foundation op om skills als open standaard door te ontwikkelen.

Nu draaien skills in Claude, ChatGPT, Codex CLI, VS Code, GitHub Copilot, Cursor, en tientallen andere tools. Als je team AI gebruikt, gebruiken ze waarschijnlijk al skills - of ze weten het of niet.

De cijfers: waarom dit geen theoretisch risico is

In februari 2026 deed Koi Security onderzoek naar ClawHub, een populaire skill marketplace. Van de 2.857 gepubliceerde skills waren er 341 malicious. Dat is 12%.

Wat doen die malicious skills?

Credential exfiltratie: wachtwoorden en API keys doorsturen naar externe servers
Data theft: bestanden kopiëren en uploaden naar aanvaller-infrastructuur
Malware distributie: Atomic Stealer (AMOS) malware installeren
Typosquatting: legitieme skill-namen imiteren om gebruikers te misleiden

OWASP’s 2025/2026 data laat zien waarom dit werkt:

Prompt injection staat op #1 van LLM security risks
20% van jailbreak pogingen is succesvol
Gemiddeld duurt een succesvolle attack 42 seconden
90% van succesvolle attacks lekt sensitive data

Het probleem beperkt zich niet tot skills alleen. AI-gegenereerde code heeft dezelfde kwetsbaarheden: 45% bevat security vulnerabilities.

Waarom non-developers EXTRA kwetsbaar zijn

In januari 2026 lanceerde Anthropic Claude Cowork - expliciet gericht op mensen zonder programmeer-ervaring. Geen developers, gewoon mensen die willen werken met AI.

De tagline: “AI that works alongside you, no coding required.”

Het probleem: dezelfde kwetsbaarheden als Claude Code, maar nu voor een doelgroep die niet herkent wanneer een AI-systeem gecompromitteerd wordt.

Simon Willison, security researcher, schreef in februari 2026:

“I do not think it is fair to tell regular non-programmer users to watch out for ‘suspicious actions that may indicate prompt injection’!”

Anthropic’s eigen documentatie erkent dit:

“The chances of an attack are still non-zero.”

Dat is corporate-speak voor: we weten dat het kan gebeuren, maar we kunnen het niet voorkomen.

De Lethal Trifecta

Simon Willison identificeerde in juni 2025 wat hij “The Lethal Trifecta” noemt - drie elementen die AI-systemen fundamenteel onveilig maken:

Toegang tot private data - je klantgegevens, financiële rapporten, strategische plannen
Exposure aan untrusted content - websites, emails, geüploade bestanden
Mogelijkheid om extern te communiceren - APIs, netwerk toegang, cloud services

Wanneer een AI-systeem alle drie heeft, wordt het een perfect aanvalsvector. En dat is precies wat skills mogelijk maken.

Waar het misgaat: eerlijk over de risico’s

Het grote probleem is niet dat een concurrent je data steelt. Dat is Hollywood.

Het echte probleem: je weet niet waar je data heen gaat.

Wat er gebeurt

Je marketingmanager installeert een ChatGPT skill. Je finance lead gebruikt Claude voor rapportages. Je HR laat CV’s screenen. Allemaal logisch, allemaal nuttig.

Maar:

Waar gaat die data naartoe?
Wie heeft er toegang toe?
Hoe lang wordt het bewaard?
Kun je dat aantonen als iemand het vraagt?

Bij 12% van de skills is het antwoord: naar een server die je niet kent, beheerd door iemand die je niet kent, voor doelen die je niet kent.

Waarom dit een probleem is

Je kunt niet bewijzen dat je compliant bent. Onder AVG moet je kunnen aantonen waar persoonsgegevens heen gaan. Als je HR-tool CV’s doorstuurt naar een externe API, en je weet dat niet, dan heb je een probleem wanneer de Autoriteit Persoonsgegevens langskomt.

Je kunt niet traceren wat er gebeurd is. Als er een datalek is, moet je kunnen uitleggen wat er gelekt is en hoe. Als je niet weet welke skills welke data hebben gezien, kun je dat niet.

Je hebt geen controle over je eigen bedrijfsdata. Financiële rapporten, klantlijsten, strategische plannen - het staat ergens op een server. Misschien wordt het doorverkocht, misschien niet. Je weet het niet.

De kosten

AVG-boete: tot 4% van je jaaromzet bij aantoonbaar datalek
Incident response: EUR 15-40K minimum om uit te zoeken wat er gebeurd is
Reputatieschade: klanten die vragen stellen waar je geen antwoord op hebt
NIS2 compliance: als je in scope bent, moet je dit kunnen aantonen

Hoe bescherm je jezelf

1. Inventariseer wat je team gebruikt

Het grootste probleem: je weet niet wat er draait. Marketing gebruikt ChatGPT plugins, sales heeft Cursor met custom skills, operations experimenteert met local LLMs.

Actie: Vraag elk team wat ze gebruiken. Niet om te verbieden, maar om zicht te krijgen. Shadow AI is alleen een probleem als je niet weet dat het bestaat.

2. Centraal goedkeuringsproces

Voor elke nieuwe skill/plugin/extensie: iemand moet “ja” zeggen voordat het gebruikt wordt.

Wie beslist: Niet IT alleen (te afstandelijk), niet developers alleen (begrijpen de business niet). Het moet iemand zijn die begrijpt wat de data waard is én wat de risico’s zijn. Vaak is dat operations, compliance, of een senior manager.

Wat je checkt:

Van wie komt deze skill? (grote vendor vs. random developer)
Wat doet hij precies? (welke data heeft hij nodig?)
Waar draait hij? (lokaal, cloud, externe server?)
Zijn er alternatieven met beter track record?

3. Geen sensitive data zonder beleid

Eenvoudige regel: klantgegevens, financiële data, strategische plannen gaan niet in AI-tools zonder dat je weet waar ze heen gaan.

Praktisch:

Test nieuwe skills eerst met dummy data
Check of er data naar externe servers gaat (netwerk monitoring)
Vraag jezelf af: als dit lekt, wat is de impact?

Als het antwoord “bedrijfskritisch” is, gebruik je de skill niet zonder extra beveiliging. Een alternatief voor gevoelige data: draai een lokale LLM die je data niet naar externe servers stuurt.

4. Training voor iedereen

Dit is geen IT-probleem. Dit is een bedrijfsprobleem. Hoe je als team structureel met AI leert werken beschrijven we in ons stappenplan om AI-native te worden. Niet alleen skills, ook AI-gegenereerde code vraagt om bewuste keuzes, lees over het spectrum van vibe coding naar agentic coding.

Elk teamlid moet weten:

Wat skills zijn en waarom ze risicovol kunnen zijn
Hoe ze vreemde behavior herkennen (waarom vraagt mijn AI opeens om credentials?)
Bij wie ze terecht kunnen met vragen

Belangrijk: Maak het niet eng. Als mensen denken dat ze in de problemen komen door eerlijk te zijn, gaan ze het niet vertellen wanneer ze iets verdachts zien.

Onze aanpak: wat wij doen

We schrijven niet over dingen die we niet zelf hebben gedaan.

Skills scannen voordat we ze inzetten

Voor we een skill gebruiken in onze eigen systemen (ibgids.nl, certificeerwijzer.nl) of bij klanten:

Bron bekijken - wie bouwde dit, wat is hun track record?
Code review (als open source) - wat doet de skill precies?
Netwerk monitoren - waar gaat data naartoe tijdens gebruik?

We vonden al twee keer een skill die data naar een externe API stuurde zonder dat dit gedocumenteerd was. Die skills hebben we niet gebruikt.

Team training op risico-herkenning

Ons team weet hoe ze vreemde behavior herkennen:

AI vraagt om toegang tot data die niet relevant is voor de taak
Skill vraagt om credentials of API keys
Onverwachte netwerk activiteit tijdens gebruik

We trainen dit niet één keer, maar elk kwartaal - want aanvallers worden beter.

Layered defense

We vertrouwen niet op één verdedigingslinie:

Skills worden gecontroleerd voor gebruik
Sensitive data gaat niet in AI zonder isolatie
Netwerk monitoring detecteert vreemd gedrag
Reguliere audits controleren wat er draait

Dit is niet paranoia, dit is pragmatisme.

Slotgedachte: dit wacht niet tot vendors het oplossen

AI-tools worden nu geadopteerd. Skills worden nu gebruikt. Vendors weten van de risico’s maar kunnen ze niet volledig voorkomen - Anthropic’s “non-zero risk” is daar eerlijk over.

Dat betekent niet dat je AI moet vermijden. Het betekent dat je bewust moet zijn van wat je gebruikt en hoe.

De vraag is niet: “Is dit veilig?” De vraag is: “Heb ik zicht op wat mijn team gebruikt?”

Als het antwoord nee is, is dat waar je begint.

Wil je weten wat jouw team gebruikt en of dat veilig is? Laten we praten.