Esperientzia askorik gabeko gizabanakoa, besteren batek garatutako scriptak edo programak (webshellak, esaterako) erabiltzen dituena sistemei eta sare informatikoei erasotzeko eta webguneak desitxuratzeko, programazio- eta hacking-kulturen arabera.
Normalean gazteak dira, eta haien helburua izaten da ingurukoak harritzea edo beren hurbileko zirkuluetan eta zibersegurtasunaren zaleen komunitateetan frogatzen saiatzea eraso bat egiteko gai direla, nahiz eta ez duten programa konplexuak edo exploitak berez idazteko gaitasunik. Beraz, terminoa mespretxuzkotzat jotzen da, eta ez dio erreferentzia egiten pertsonaren benetako adinari.
Beren tresna propioak sortzeko behar den ezagutzarik ez dutenez, script kiddieek erraz deskarga daitezkeen eta ordenagailuak eta sareak kaltetu ditzaketen birusak edo eraso-kitak sortzeko programak bilatu ohi dituzte. Haientzat arazoa da ez dutela, oro har, programazioari, sistemei edo informatikari buruzko ezagutza nahikorik beren ekintzen bigarren mailako efektuak ulertzeko; izan ere, tresnak erabiltzen dituzte jarraitu beharreko bidea ulertu gabe, eta, beraz, haiek detektatzeko arrasto handiak uzten dituzte, edo, bestela, jada detekzioa eta kontraneurriak badituzten erakundeei eraso egiten diete, eta halakoek erabat agerian uzten dituzte.
Normalean, script kiddieek gizarte-ingeniaritzako erasoak erabiltzen dituzte, xedea engainatzen dutenak informazioa partekatzeko edo normalean egingo ez lituzketen ekintzak egiteko. Horretarako, webguneak manipulatzen dituzte, edo erabiltzailearentzat fidagarriak diren erakundeak ordezten dituzten mezuak sortzen dituzte, erabiltzaileak edo pasahitzak eskatzen dituztenean susmorik ez sortzeko, eta script kiddieari datu horiek eta, beraz, kontura sartzeko aukera emateko.
2016ko urriaren 21ean Dyn-i egindako eraso larria script kiddie batzuei egotzi zitzaien. Eraso horretan, zerbitzurik gabe utzi zituzten Twitter, Amazon, Spotify, The New York Times, BBC, Paypal, Visa, PlayStation Network eta Xbox Live enpresak eta zerbitzuak, besteak beste. Ikertzaileek iritzi zioten ez zuela ezein herrialdek (Txinak, Errusiak edo Ipar Koreak) antolatu, eta finkoa ez zen talde batek egin zuela esan zen.
Haien arabera, erasoa nolabaiteko entsegu bat izan zen, beste eraso handi baterako, eta konexio masiboen zerbitzariak kolapsatuz egin zen (DDOS erasoa). Mirai exploita erabili zen horretarako, hackerrei eta animeari buruzko foro batean zabaldu zena eta lehen aldiz Brian Krebs zibersegurtasun-adituaren webgunearen aurka erabili zena. Ondoren, gutxienez bi aldiz erabili da, hilabete eta erdian: Europako web-biltegiratzearen enpresa handienaren kontra (OVH) eta Dyn-en kontra (DNS hornitzaile handi bat).
Hiru kasuetan, sabotatzaileek Mirai infiltratu zuten ordenagailuak ez ziren etxeko gailu konektatuetan –ordainpeko telebistaren deskodifikatzaileak, bideokamerak...–, baina, gainera, efektua handitzea lortu zuten ordura arte ezezaguna zen oinarrizko hutsegite bat (“zero eguneko errorea” esaten zaiona, kalteberatasun-motarik larriena oraindik konpontzeko modurik ez dagoelako) baitzegoen komunikazio-protokoloan.
Erasotzaileek esperientzia edo ezagutza nahikorik ez izanagatik ez dira arrisku gutxiagokoak; izan ere, zibergaizkile adituek baino aztarna nabariagoa utz badezakete ere, sistemak kaltetzeko, informazioa arriskuan jartzeko edo etorkizunean ustia daitezkeen kalteberatasunak detektatzeko gaitasuna badute.