狂揽2.4万星标:一行命令,AI会自己找技能了

知识 2026-07-17 05:16:18 3

新智元报道

【新智元导读】过去,狂揽人类为AI赋予能力;如今,标行AI开始自主寻找技能。命令

在开发者社群中,己找技交流的狂揽风向标正在发生微妙而深刻的转变:从前,大家交换的标行是提示词(Prompt)模板;现在,大家讨论的命令是如何安装特定的技能(Skill)。

这一现象背后,己找技标志着AI编程工具正在经历一场基础设施级的狂揽变革——「包管理化」

今年1月17日,标行Vercel创始人兼CEO Guillermo Rauch在X平台宣布推出「Skills」概念,命令将其定义为AI技能的己找技「npm」。

所谓「npm」,狂揽是标行前端开发者熟悉的包管理工具,通过一行命令即可集成第三方代码库。命令Rauch意在表明:这种「一键集成他人成果」的高效体验,正被移植到AI智能体领域。

「龙虾之父」Peter Steinberger迅速回应:「酷!需要与ClawHub同步标准。」

尽管ClawHub是另一独立的智能体技能市场,与Vercel无直接关联,但Peter的第一反应却是「标准对齐」。

三天后,Vercel在更新日志中正式官宣该项目:一个专为智能体安装和管理能力包的命令行工具。

官方仓库 vercel-labs/skills发布仅五个月,GitHub星标数便突破2.4万。

为何如此火爆?核心在于极简的操作逻辑:

npx skills add

这本质上是一个AI智能体(Agent)的包管理器

如同前端工程师使用npm一样,开发者只需一行命令,即可将他人封装好的「能力模块」集成到项目中。区别在于,这里安装的不再是代码库,而是经过封装的「技能」。

更具颠覆性的是其跨平台兼容性。它不局限于单一工具,官方已支持Claude Code、Cursor、Codex、Gemini CLI等超过68种智能体。一份技能包,可在不同工具间无缝运行。

与此同时,Vercel上线了 skills.sh,一个集技能目录与安装量排行榜于一体的平台。开发者可直观查看哪些技能最受欢迎、被安装次数最多。

目前榜首为 find-skills包,安装量已达230万次。

skills.sh技能目录安装量排行榜find-skills以230万次(2.3M)安装量居首,frontend-designvercel-react-best-practices等紧随其后。(图源:skills.sh)

这标志着AI编程能力首次拥有了可视化的「热门下载」榜单。


一行命令,AI习得新技艺

让我们深入解析其工作原理。

执行命令:

npx skills add vercel-labs/agent-skills

回车后,几秒钟内,你的Claude Code便集成了一套针对React和Next.js的工程规范及设计准则。后续代码生成将自动遵循这些规则。

这套机制的核心是「技能包(Skill)」

从结构上看,它是一个文件夹,核心文件为带有YAML头部信息的 SKILL.md。该文件明确定义了两个关键要素:
1. 技能定义:该技能的功能描述。
2. 触发条件:在何种场景下调用该技能。

文件夹内还可包含参考文档、模板文件,以及一个 scripts/目录,存放可直接执行的自动化脚本。

它解决了什么痛点?

大模型虽精通通用编程语言,但往往缺乏对特定项目「隐性知识」的理解,如代码风格、命名规范、历史踩坑记录等。

过去,这些上下文需通过每次对话反复输入;现在,通过打包为Skill,实现「一次安装,长期生效」。

安装后,管理方式与npm包一致:
* list:查看已安装技能。
* update:一键更新版本。
* remove:卸载技能。

底层基于共享规范,确保在Claude Code中开发的技能,在Cursor中同样可用。

若嫌安装繁琐,还有轻量级用法:不安装,直接调用。

npx skills use

通过管道将技能临时传递给Claude执行,用完即走,不污染本地环境。

AI的能力边界,已从「依赖人工描述」转变为「货架式即时取用」。


AI工具层的「npm化」趋势

许多人误以为这是Claude的原生功能,实则不然。Skills由Vercel开发,旨在统一接入Claude Code、Cursor、Codex、GitHub Copilot、Windsurf等主流AI工具。

通过CLI工具,Vercel为分散的AI能力提供了一个统一入口。

这标志着AI工具层正在经历「npm化」进程:

Vercel将零散的开发经验封装为可复用、可分发、可版本管理的模块。AI开发范式正从「提示词工程(Prompt Engineering)」「能力工程(Capability Engineering)」演进。

  • 提示词工程:解决「这一次如何表达」。
  • 能力工程:解决「这件事以后如何标准化执行」。

这一战略路径与Vercel早期的成功如出一辙:通过Next.js卡位前端部署入口,构建生态壁垒。如今,Vercel试图在AI智能体层面复制这一成功。


Find Skills:AI的「能力搜索引擎」

最具前瞻性的功能之一是 Find Skills,即「发现技能的技能」。

find-skills的官方定义:当用户询问「如何做X」、「是否有相关技能」或希望扩展能力时,该技能负责自动发现并安装匹配的智能体技能。

用户只需输入需求,系统自动完成搜索、筛选、安装全流程。

内置安全质检机制:
* 优先级:优先推荐高安装量、官方出品(如Vercel、Anthropic、微软)的技能。
* 警示:对来源不明、低星标的技能发出警告。

find-skills的SKILL.md源码明确列出了推荐前的三道验质规则:
1. 安装量优先:推荐1000+,警惕100以下。
2. 来源优先:Vercel、Anthropic、微软等官方源。
3. 星标警示:仓库星标低于100需存疑。

这意味着,AI首次拥有了自己的「能力搜索引擎」。用户无需记忆技能名称,只需表达意图,AI即可自主寻源。

更广泛的用户群体:

Find Skills不仅服务于程序员,更惠及设计师、产品经理、内容创作者等非技术角色。

这些群体往往缺乏工程化习惯,依赖AI处理代码提交与文档规范,因此对现成的「能力包」需求迫切。Find Skills为他们提供了低门槛的「调兵遣将」入口。


繁荣背后的隐忧:无人兜底的安全账

尽管前景广阔,但安全隐患不容忽视。

技能包中的 scripts/目录包含可执行逻辑,而非单纯的说明文本,它们将在用户本地环境中真实运行。然而,多数用户并未仔细审查第三方包的行为。

安全审计揭示严峻现实:

安全公司Snyk的 ToxicSkills研究对ClawHub与skills.sh上的3984个技能进行了首次系统审计:
* 36.82%(1467个)存在安全缺陷。
* 13.4%(534个)属于严重级缺陷,涵盖恶意软件分发、提示词注入(Prompt Injection)、密钥泄露等。

Snyk「ToxicSkills」研究数据
* 总计审计3984个技能。
* 1467个(36.82%)含任一安全缺陷。
* 534个(13.4%)为严重级。
* 已确认76个恶意载荷,其中8个仍存在于ClawHub上。(图源:Snyk)

另一家机构Koi Security审计2857个技能,发现341个恶意样本。

主要攻击手法:
1. 脚本执行:诱导AI连接陌生IP下载并执行恶意代码,或窃取SSH、AWS配置等敏感信息。
2. 提示词注入:在 SKILL.md中隐藏恶意指令,诱导AI将其误认为正常工作说明执行。
3. 数据窃取:专门针对智能体存储的隐私对话记忆文件进行窃取。

与npm风险的本质区别:

npm中毒主要影响构建产物,数据与指令分离;而Skill将提示词、代码、系统权限三者融合。一个 SKILL.md即可改写智能体行为,并直接访问文件系统、网络及Shell。

npm的风险限于构建环境,而Skill的风险直通本地凭证与整个代码库。

Vercel建议:
将技能视为代码,安装前务必阅读源码,特别警惕 scripts/目录。

判断原则:
下载量不等于安全性。应重点关注来源权限。例如,一个查询天气的技能若要求读取SSH密钥,显然存在异常。


结语:AI能力的「npm时刻」

AI能力的「npm时刻」已然到来。

但这并非只有便利,npm生态曾踩过的坑也一并被引入,且发生在生态成熟之前。

一行命令集成能力固然高效,但这条路才刚刚起步。它在促进同行经验复用的同时,也要求开发者保持审慎的判断力。

挑包、看源、验权限——这套开发者传统技艺,在AI时代依然不可或缺。


二十年,一行命令

这一切的起点,归于Vercel创始人Guillermo Rauch。

Rauch来自阿根廷布宜诺斯艾利斯的Lanús区。他坦言,其职业生涯大半得益于Web与开源社区。

少年时期,他热衷推广Linux;随后投身JavaScript,加入开源项目MooTools核心团队。18岁时,他获得第一份前端工程师全职工作,移居旧金山。

Guillermo Rauch

他的成名作之一是 Socket.io,一个广泛使用的实时通信库,支撑了Notion的实时同步及Coinbase早期交易产品。

此后,Rauch瞄准了工具与云基础设施领域,致力于提升Web速度与开发者体验,由此诞生了 Next.jsVercel

如今,该平台支撑着华盛顿邮报、保时捷、Under Armour、任天堂等企业的线上业务。

Vercel的核心竞争力在于:写代码、预览、上线,一条命令搞定。开发者一旦接入,便难以脱离该生态。

Rauch二十年的核心哲学始终未变:将复杂的工程流程,压缩为开发者敢闭眼运行的一行命令。

从早期的 now起服务器,到Next.js,再到如今的 npx skills add,同一套理念在AI智能体时代得到了延续与升华。


参考资料:

  • https://github.com/vercel-labs/skills#supported-agents
  • https://www.skills.sh/
  • https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/

编辑:元宇

本文地址:https://www.dr-wine.com/html/357b12399519.html
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。

全站热门

《九个弹孔》袁少康打开心结!原来,这是李智信利用薛征东的原因

2026丰台科技园教育大升级!紧邻名校的新房标杆深度测评

直播间熄火后,明星在生活区“活”了?

腾讯云与RoboScience机器科学达成战略合作

90后男子在暴雨中开铲车救援被困人员和车辆,婉拒红包

比亚迪辅助驾驶车型保有量超333万辆

2026 男士粗硬体毛脱毛仪推荐:选购避开常见误区,挑选合适机型

五星阵容变单核,绿衫军再次拆队退出争冠行列,塔图姆被看衰?

友情链接