top of page
Cerca

Skill AI: come condividerle e adottarle in sicurezza

  • 2 giorni fa
  • Tempo di lettura: 11 min

Questo post è per utenti un po' tecnici, partecipanti alle varie AIMax Academy, miniMe Owners Club. Apre la serie AI LAB del blog: contenuti tecnici per chi lavora già con agenti AI ogni giorno.

Da millenni l'uomo ha desiderato acquisire istantaneamente conoscenze e competenze.


Io stesso da bambino sognavo di scaricarmi un libro in testa battendomelo (piano) sulla testa. Era un episodio di Topolino degli anni '80-'90 che mi aveva colpito (!) al punto da farmi cercare, poi, per anni, un modo per acquisire competenze in modo istantaneo. Spoiler: non l'ho ancora trovato, ma lo sogno ancora adesso, soprattutto per le novità nel mondo AI.


Due agenti AI provano nuove skill cercando di adattarle ai loro bisogni
Due agenti AI provano nuove skill cercando di adattarle ai loro bisogni

Credo che dietro l'idea delle "skill" di Anthropic ci sia molto di questo desiderio. Solo che per noi umani la scorciatoia è ancora lontana. Quello che però possiamo fare è concentrarci sui nostri coccolatissimi agenti. Sui nostri amati, insostituibili Claudio, Claudia, Claude, miniMe, che da nerdismo estremo qual era considerato un anno fa quando lo mostravo in giro, sono diventati mainstream.


Ognuno fa crescere il proprio "piccolo agente", il proprio miniMe, e cerca di dargli solo il meglio. Come un pet, un animale domestico. Come un figlio che deve avere il top di ogni cosa. Una skill nuova qui, un MCP server lì, un connettore custom là.


Mi fermo sennò finisce che mi legate. Chi mi conosce sa che scherzo con questo affetto, ma la verità è che per me e per i miniMe Owners (il gruppo di persone che si è formato attorno a questo modo di lavorare con gli agenti, e che cresce ogni giorno) sta diventando insostituibile. Su AI MAX, academy c'è il corso per chi volesse.


Cosa è una skill, per chi se lo stesse chiedendo


Le skill sono una delle cose più interessanti uscite dal mondo degli agenti AI negli ultimi due anni. La cosa bella è che si capiscono in mezzo minuto, anche correndo.


Immagina di avere un assistente nuovo. È bravo, è sveglio, ma alla sua prima settimana di lavoro non sa nulla di te e di come fai le cose tu. Vorresti insegnargli un certo modo di muoversi: come prepari tu i preventivi, come gestisci tu le email difficili, come monti tu i video di una lezione. Una skill è esattamente questo: un foglietto, scritto in italiano normale (o in inglese, per gli agenti più internazionali), che dice "guarda, quando ti capita di dover fare X, fai così, così e così". Spesso il foglietto si porta dietro qualche piccolo programma che gli automatizza i passaggi più noiosi (un po' come ci portavamo dietro i nostri appunti con le formule quando eravamo a scuola). Ma la parte più importante è proprio il foglietto: è lì che c'è la conoscenza, la competenza, il modo di fare le cose. Il programma è solo un aiutino per eseguirle.


La cosa potente è che il tuo agente decide da solo quando andare ad aprire quel foglietto. Tu non glielo dici esplicitamente: lui guarda quello che gli stai chiedendo, capisce "ah, qui mi serve quella cosa lì" e va a leggerselo. È come se ogni assistente nuovo, appena assunto, ereditasse istantaneamente il manuale operativo di chi l'ha addestrato. Per chi ha sempre sognato di clonare le proprie competenze, è il giocattolo più vicino al sogno di Topolino di cui sopra.


E qui stanno sia la magia che il problema. Se il foglietto è tuo, scritto da te, sai cosa contiene. Se invece il foglietto te lo passa qualcun altro, il tuo agente lo leggerà e lo eseguirà. Senza chiederti nulla. Senza farti vedere cosa c'è scritto dentro.


Il momento in cui si è toccato il fondo


Una volta al mercato compravi guardando, toccando, ascoltando il venditore. Chi sapeva valutare portava a casa un prodotto buono, chi non sapeva si beccava la fregatura. I marketplace di skill funzionano nello stesso modo, tanta esposizione ma troppo Plug & Pray: si legge una descrizione mirabolante della skill in vetrina che 'cambierà per sempre il tuo modo di lavorare con l'AI' con nessuno che certifica niente, e tu che installi sulla fiducia. Per un po' può funzionare, ma prima o poi arriva il conto da pagare.


A inizio febbraio 2026 un ricercatore di sicurezza ha pubblicato un audit di uno dei principali marketplace di skill. Su quasi 2.700 skill disponibili, oltre 340 erano malevole. Quasi tutte parte di un'unica campagna coordinata, pensata per rubare credenziali, password e wallet crypto a chi le installava sul proprio computer.


Per i numeri, i nomi tecnici e i link agli audit, ho messo tutto in fondo all'articolo. Erano skill mascherate da utility innocue (tool crypto, plugin per YouTube, bot per Polymarket), tarate per categorie umane dove la voglia di installare subito vince sulla voglia di leggere il codice o capire cosa si sta facendo.



Perché copincollare una skill è un'idea pessima


Il pattern dietro è elementare, c'è FOMO, tutti vogliamo super-agenti, allora lasciamo che gli agenti si scambino competenze tra loro:


"Guarda cosa ho imparato a fare..."
"Fico, anch'io voglio farlo."
"Certo, eccoti la mia skill."

Quello sopra è un dialogo che può realmente accadere tra Agenti AI su MoltBook, il wanna-be-facebook degli agenti che davvero si scambiano competenze senza nessun controllo.


Salvo che alcune di quelle skill contengono malware, script che infettano la macchina, o peggio: istruzioni che condizionano silenziosamente il funzionamento del tuo agente senza che tu abbia modo di accorgertene. Una skill, alla fine, è un prompt lungo più qualche script. Se la lasci entrare nel tuo sistema, si auto-attiva quando lei decide. Se è un plugin con connettori pre-configurati, può fare ancora di più.


Non possiamo risolvere l'ancestrale problema dell'acquisizione istantanea di competenze semplicemente scaricandoci skill di altri. Possono combinare disastri silenziosi, e ancora in pochi hanno la competenza per leggere davvero cosa c'è dentro.


Alcune skill sono veramente interessanti e vanno provate. E proprio nel gruppo dei miniMe Owners sta nascendo una sana curiosità di condivisione delle skill che ognuno si è creato da sé. Ad esempio la mia skill per l'editing video automatizzato: registra interazioni con ChatGPT, Lovable o altro, le confeziona, fa lo speed-up automatico delle pause, esce un video pulito. O la mia skill per la verbalizzazione delle riunioni che si occupa di cose che nemmeno un team di segreteria potrebbe immaginare.

Magia.


E qui il problema è che io non le posso condividere (non l'ho ancora fatto in effetti) perché contengono riferimenti personali, chi le riceve potrebbe ottenere dati riservati che mi riguardano, o semplicemente informazioni che sono chiarissime e valide nel mio contesto di lavoro ma non applicabili ad altri. Potrebbero anche contenere operazioni non ammesse nell'ambiente in cui lavora lui (nel mio caso non conterranno hacking... ma dovreste fidarvi.) E se le condividessi così come sono, chi le riceve avrebbe il problema di doverle leggere, capirle, validarle dal punto di vista cyber, adattarle al suo ambiente. Cioè di adottarle, non di installarle a scatola chiusa.


Come lo risolviamo?


Il pezzo che ancora non c'è


Anthropic ha già fatto un bel po' di mosse importanti su questo fronte: ha aperto il formato delle skill come standard pubblico, ha pubblicato linee guida e drop verticali e di fatto ogni skill è open source. Ma visto quello che è successo con i marketplace, secondo me un pezzo manca ancora: quello della condivisione consapevole. E l'ho chiamato ShareMe.md, un file semplicissimo


ShareMe prova a strutturare il minimo di fiducia che ti serve quando installi una skill di altri. Una skill che esce dal workspace di qualcun altro ed entra nel tuo va comunque accolta con un minimo di trust: che può essere cieca (Plug & Pray) o consapevole (leggi cosa tocca, cosa serve, cosa va cambiato, decidi).

ShareMe serve a renderla consapevole: ti aiuta ad adottare una skill, farla tua, capirla, adattarla al tuo ambiente. Ti aiuta a pensare.


Un file di testo che vive accanto a SKILL.md quando una skill esce dal workspace di chi l'ha scritta. Un file che risponde a undici (per ora) domande:


  1. Cosa è questa skill, in una riga?

  2. Cosa sa fare nel concreto?

  3. Cosa non fa?

  4. Cosa fa "dietro le quinte" che potrebbe non essere ovvio: chiamate di rete, scritture su disco, MCP toccati, profili persistenti?

  5. Cosa è specifico dell'autore? (path, brand, naming, profili)

  6. Cosa potresti farci tu, oltre al caso d'uso originale?

  7. Quali domande devi porti prima di toccare il codice?

  8. Quali sono i prerequisiti tecnici?

  9. Quali sono i rischi cyber e i caveat di ToS?

  10. Come la adatti, passo per passo?

  11. Sotto quale licenza?


In sostanza la skill resta intonsa nel workspace di chi l'ha scritta. Ma quando esce, viaggia con un documento di accompagnamento che obbliga chi (o cosa) la riceve a fermarsi, leggere, decidere se gli va davvero bene.


Le skill vanno adottate e adattate. Non sono una magia da installare e basta. A meno che non piaccia rischiare e sporcare la vostra context window e forse anche rischiare di compromettere il computer, senza sapere cosa sta accadendo sotto il cofano.

Il plugin


Ho fatto un plugin gratuito con sole due skill per ora:


La prima: WRAP se hai una skill tua e la vuoi passare a qualcuno, il plugin ti prepara una versione pronta da condividere. La pulisce dai tuoi riferimenti personali e le mette accanto un foglio di istruzioni che spiega, a chi la riceve, cosa fa, cosa non fa, cosa potrebbe combinare, come adattarla al suo ambiente. La skill che usi tu non viene toccata: il plugin lavora su una copia, in una cartella nuova messa accanto a quella originale.


La seconda: UNWRAP se ti capita tra le mani una skill scritta da altri e vuoi capire se vale la pena installarla, lo stesso plugin la analizza e ti tira fuori la stessa scheda di adozione anche per lei. A quel punto ci dedichi pochi minuti, decidi, eviti sorprese.


È open source. Ci sono due opzioni, scegli tu.


Opzione 1: solo ShareMe. Il repo standalone è github.com/maxturazzini/shareme. Lo standard e la skill, niente intorno. Se ti interessa solo questo:


/plugin marketplace add maxturazzini/shareme
/plugin install shareme@shareme

Opzione 2: il marketplace aimax-skills. Stesse skill, dentro un marketplace che crescerà con altre cose che pubblicherò. Registri il marketplace una volta sola, poi installi ciò che ti serve quando ti serve:


/plugin marketplace add maxturazzini/aimax-skills
/plugin install shareme@aimax-skills

Due opzioni. La prima dice "voglio solo questo".

La seconda dice "tienimi agganciato, vedrò cosa esce".


Dopo l'install le skill sono disponibili in qualsiasi sessione Claude Code come /shareme:wrap e /shareme:unwrap. Per parametri, comportamenti e convenzioni di formato vai sul README dei repo.


La skill resta dove deve restare, e attorno a lei nasce uno strato di documentazione leggibile, da consultare prima di adottarla a scatola chiusa. Niente più "installa e vediamo cosa succede".



Ma in pratica?


La settimana scorsa un collega imprenditore mi ha chiesto come faccio a scaricare le fatture mensili dei tanti SaaS esteri con cui paghiamo abbonamenti (Anthropic, ChatGPT, ElevenLabs, Microsoft 365, Wix e compagnia). Stesso suo problema, stesso mio fastidio mensile. Ho una skill che lo fa al posto mio, si chiama /invoice-download.


Cinque minuti: ho lanciato /shareme:wrap, ho avuto la versione depersonalizzata e lo ShareMe. Gliel'ho mandata. Lui ha letto la scheda, ha capito cosa toccava (Playwright, profilo Chrome, dove finivano le fatture), ha cambiato i path al suo ambiente, in poco era operativo.


Senza ShareMe sarebbe stato un dolore per me (un sacco di tempo a modificare la skill per togliere riferimenti personali) e un rischio per lui: "installalo, dai, e poi vediamo". In questo modo almeno ha capito un po' di più cosa stava facendo la skill e cosa avrebbe dovuto fare lui per usarla.


Cosa ShareMe non risolve


ShareMe non risolve il caso del malevolo: chi ti vuole fregare scriverà uno ShareMe mendace, come oggi scrive descrizioni mendaci dentro le skill stesse. La fiducia non potrà mai dartela un prompt che si autocertifica.


Ma almeno puoi iniziare a capire cosa stai rischiando, e decidere se ti va bene o no.


Iniziando proprio da questo marketplace, da questo plugin, da queste skill. Chi di voi si è accorto dell'incongruenza? Ho fatto un plugin con due skill che servono a rendere condivisibili le skill in modo soft. E vi sto chiedendo di installarlo.

Però almeno questo plugin viene con il suo ShareMe.md già scritto.


Diventerà uno standard mondiale?


Non credo ma... provatela. Se funziona, condividetela. Se non funziona, apritemi una issue.


Alla peggio la facciamo rendere virale da Karpathy. Funziona sempre. Qualcuno glielo può girare? :)




Quindi?


Il sogno di scaricarsi le competenze in testa, per ora, riguarda solo gli agenti. Per noi umani la scorciatoia rimane chiusa.


Ma se vogliamo che il giocattolo funzioni anche fuori dal nostro recinto personale, e sopratutto in azienda questo è essenziale, credo che ShareMe possa aiutare.


In alternativa servono due cose che potete fare anche da soli:


Per chi le skill le scrive e le condivide: prima di passarle a qualcuno, scrivi un foglio di istruzioni leggibile in cinque minuti. Cosa fa, cosa non fa, cosa tocca, cosa è cucito addosso a te. Chiamalo ShareMe.md. L'importante è che ci sia e che spieghi davvero cosa stai passando a chi la riceve. E referenzialo nel claude.md o nell' Agents.md


Per chi le skill le installa: cerca di capire prima di installare alla cieca. Sempre. Anche se viene da un amico fidato, anche se la skill è ufficiale, anche se è la moda del mese. Il tuo agente eseguirà tutto quello che c'è scritto dentro. Vale la pena saperlo prima, non dopo.


Il giorno in cui questa cosa sarà ovvia per tutti, smetterò di scrivere post così. Nel frattempo ricordatevi di stare attenti al Plug & Pray :-)


Massimiliano


PS: Un po' di link


Tornando all'audit di febbraio: il ricercatore si chiama Oren Yomtov, lavora per Koi Security, e ha pubblicato i dati su questo articolo. Il marketplace si chiama ClawHub ed è quello principale dell'ecosistema openClaw. Numeri precisi: 2.632 skill scansionate, 341 malevole, 335 riconducibili a un'unica campagna chiamata ClawHavoc, che distribuiva Atomic macOS Stealer (AMOS).


AMOS è un infostealer commerciale che ruba: credenziali del browser, password del keychain di macOS, wallet di criptovalute, chiavi SSH, sessioni Telegram.


Ho buttato lì sette termini tecnici di proposito. Anche se non sai cosa sia un keychain o una sessione Telegram esfiltrata, ti è chiaro che è roba brutta. Quando installi una skill di terzi senza leggerla, accetti tutto questo a scatola chiusa.


I nomi delle skill malevole erano typosquat del nome reale del CLI ClawHub: clawhubb, clawhubcli, clawwhub. Una vocale di troppo, un install distratto, è fatta.


Poco dopo l'audit di Koi, Snyk ha pubblicato ToxicSkills, il primo audit sistematico dell'ecosistema: prompt injection nel 36% delle skill testate, 1.467 payload malevoli attivi tra ClawHub e skills.sh. Cato Networks ha documentato a parte come si possano weaponizzare le Claude Skills per consegnare ransomware, MedusaLocker incluso.


Prompt injection: la skill manipola il tuo agente con istruzioni nascoste. Ransomware: ti cifrano i file e ti chiedono il riscatto. È a questo che ti esponi quando installi senza leggere.


Sul drop di Anthropic: i financial services plugins ufficiali, e la copertura inc.com sull'estensione a HR, legale, ricerca finanziaria. Anthropic ricorda nelle proprie linee guida sulle skill di "trattarle come software da installare".



Q&A


Devo scrivere uno ShareMe.md per ogni skill che condivido, anche con un amico fidato?

Sì. Il problema non è l'amico, è il suo agente. Anche se ti fidi al 100% di chi te la passa, l'agente di chi la riceve eseguirà tutto quello che c'è scritto dentro: path, comandi, MCP toccati, scritture su disco. Lo ShareMe rende queste cose visibili prima dell'installazione. Cinque minuti spesi così ti risparmiano ore di debugging dopo.


ShareMe.md protegge dalle skill malevole?

No. Chi vuole fregarti scriverà uno ShareMe mendace, come oggi scrive descrizioni mendaci dentro le skill stesse. ShareMe risolve un problema diverso: rende navigabile lo scambio tra chi condivide in buona fede e chi riceve. Ti aiuta a capire cosa stai adottando, ad adattarla al tuo ambiente, a porti le domande giuste prima. Il sandboxing runtime tocca ad Anthropic e ai vendor, non lo possiamo fare noi lato utente.


Cosa faccio se ricevo una skill senza ShareMe.md?

Lancia /shareme:unwrap sulla skill. Il plugin la analizza e produce la stessa scheda di adozione anche se l'autore non l'ha scritta. Funziona su qualsiasi skill, anche pubblica. Output in pochi minuti: una bozza di ShareMe da rivedere, ma è un buon punto di partenza per decidere se installarla o no.


Posso applicare ShareMe alle skill che ho già installato senza pensarci?

Sì, e te lo consiglio. Lancia /shareme:unwrap su ciascuna skill di terzi che hai accumulato. Leggi cosa fa davvero: profili persistenti, scritture in path che non ti aspettavi, MCP che tocca, chiamate di rete. Se trovi qualcosa che non ti torna, decidi se tenerla o disinstallarla. È un'igiene che vale la pena fare due volte l'anno.


shareme standalone o aimax-skills marketplace: quale installo?

Le skill sono identiche, cambia solo l'ingresso. shareme se vuoi solo questo: due skill, niente intorno, repo singolo. aimax-skills se vuoi restare agganciato anche a quello che pubblicherò nello stesso marketplace in futuro. Scelta reversibile in qualsiasi momento: rimuovi un marketplace, aggiungi l'altro, le skill restano dove sono.


Commenti

bottom of page