狂揽2.4万星标:一行命令,AI会自己找技能了

新智元报道

【新智元导读】过去,狂揽人类为AI赋予能力;如今,标行AI开始自主寻找技能。命令
在开发者社群中,己找技交流的狂揽风向标正在发生微妙而深刻的转变:从前,大家交换的标行是提示词(Prompt)模板;现在,大家讨论的命令是如何安装特定的技能(Skill)。
这一现象背后,己找技标志着AI编程工具正在经历一场基础设施级的狂揽变革——「包管理化」。
今年1月17日,标行Vercel创始人兼CEO Guillermo Rauch在X平台宣布推出「Skills」概念,命令将其定义为AI技能的己找技「npm」。
所谓「npm」,狂揽是标行前端开发者熟悉的包管理工具,通过一行命令即可集成第三方代码库。命令Rauch意在表明:这种「一键集成他人成果」的高效体验,正被移植到AI智能体领域。

「龙虾之父」Peter Steinberger迅速回应:「酷!需要与ClawHub同步标准。」

尽管ClawHub是另一独立的智能体技能市场,与Vercel无直接关联,但Peter的第一反应却是「标准对齐」。
三天后,Vercel在更新日志中正式官宣该项目:一个专为智能体安装和管理能力包的命令行工具。
官方仓库 vercel-labs/skills发布仅五个月,GitHub星标数便突破2.4万。

为何如此火爆?核心在于极简的操作逻辑:
npx skills add这本质上是一个AI智能体(Agent)的包管理器。
如同前端工程师使用npm一样,开发者只需一行命令,即可将他人封装好的「能力模块」集成到项目中。区别在于,这里安装的不再是代码库,而是经过封装的「技能」。
更具颠覆性的是其跨平台兼容性。它不局限于单一工具,官方已支持Claude Code、Cursor、Codex、Gemini CLI等超过68种智能体。一份技能包,可在不同工具间无缝运行。
与此同时,Vercel上线了 skills.sh,一个集技能目录与安装量排行榜于一体的平台。开发者可直观查看哪些技能最受欢迎、被安装次数最多。
目前榜首为 find-skills包,安装量已达230万次。

skills.sh技能目录安装量排行榜:find-skills以230万次(2.3M)安装量居首,frontend-design、vercel-react-best-practices等紧随其后。(图源:skills.sh)
这标志着AI编程能力首次拥有了可视化的「热门下载」榜单。
一行命令,AI习得新技艺
让我们深入解析其工作原理。
执行命令:
npx skills add vercel-labs/agent-skills回车后,几秒钟内,你的Claude Code便集成了一套针对React和Next.js的工程规范及设计准则。后续代码生成将自动遵循这些规则。
这套机制的核心是「技能包(Skill)」。
从结构上看,它是一个文件夹,核心文件为带有YAML头部信息的 SKILL.md。该文件明确定义了两个关键要素:
1. 技能定义:该技能的功能描述。
2. 触发条件:在何种场景下调用该技能。
文件夹内还可包含参考文档、模板文件,以及一个 scripts/目录,存放可直接执行的自动化脚本。
它解决了什么痛点?
大模型虽精通通用编程语言,但往往缺乏对特定项目「隐性知识」的理解,如代码风格、命名规范、历史踩坑记录等。
过去,这些上下文需通过每次对话反复输入;现在,通过打包为Skill,实现「一次安装,长期生效」。
安装后,管理方式与npm包一致:
* list:查看已安装技能。
* update:一键更新版本。
* remove:卸载技能。
底层基于共享规范,确保在Claude Code中开发的技能,在Cursor中同样可用。
若嫌安装繁琐,还有轻量级用法:不安装,直接调用。
npx skills use通过管道将技能临时传递给Claude执行,用完即走,不污染本地环境。
AI的能力边界,已从「依赖人工描述」转变为「货架式即时取用」。
AI工具层的「npm化」趋势
许多人误以为这是Claude的原生功能,实则不然。Skills由Vercel开发,旨在统一接入Claude Code、Cursor、Codex、GitHub Copilot、Windsurf等主流AI工具。
通过CLI工具,Vercel为分散的AI能力提供了一个统一入口。
这标志着AI工具层正在经历「npm化」进程:
Vercel将零散的开发经验封装为可复用、可分发、可版本管理的模块。AI开发范式正从「提示词工程(Prompt Engineering)」向「能力工程(Capability Engineering)」演进。
- 提示词工程:解决「这一次如何表达」。
- 能力工程:解决「这件事以后如何标准化执行」。
这一战略路径与Vercel早期的成功如出一辙:通过Next.js卡位前端部署入口,构建生态壁垒。如今,Vercel试图在AI智能体层面复制这一成功。
Find Skills:AI的「能力搜索引擎」
最具前瞻性的功能之一是 Find Skills,即「发现技能的技能」。

find-skills的官方定义:当用户询问「如何做X」、「是否有相关技能」或希望扩展能力时,该技能负责自动发现并安装匹配的智能体技能。
用户只需输入需求,系统自动完成搜索、筛选、安装全流程。
内置安全质检机制:
* 优先级:优先推荐高安装量、官方出品(如Vercel、Anthropic、微软)的技能。
* 警示:对来源不明、低星标的技能发出警告。

find-skills的SKILL.md源码明确列出了推荐前的三道验质规则:
1. 安装量优先:推荐1000+,警惕100以下。
2. 来源优先:Vercel、Anthropic、微软等官方源。
3. 星标警示:仓库星标低于100需存疑。
这意味着,AI首次拥有了自己的「能力搜索引擎」。用户无需记忆技能名称,只需表达意图,AI即可自主寻源。
更广泛的用户群体:
Find Skills不仅服务于程序员,更惠及设计师、产品经理、内容创作者等非技术角色。
这些群体往往缺乏工程化习惯,依赖AI处理代码提交与文档规范,因此对现成的「能力包」需求迫切。Find Skills为他们提供了低门槛的「调兵遣将」入口。
繁荣背后的隐忧:无人兜底的安全账
尽管前景广阔,但安全隐患不容忽视。
技能包中的 scripts/目录包含可执行逻辑,而非单纯的说明文本,它们将在用户本地环境中真实运行。然而,多数用户并未仔细审查第三方包的行为。
安全审计揭示严峻现实:
安全公司Snyk的 ToxicSkills研究对ClawHub与skills.sh上的3984个技能进行了首次系统审计:
* 36.82%(1467个)存在安全缺陷。
* 13.4%(534个)属于严重级缺陷,涵盖恶意软件分发、提示词注入(Prompt Injection)、密钥泄露等。

Snyk「ToxicSkills」研究数据:
* 总计审计3984个技能。
* 1467个(36.82%)含任一安全缺陷。
* 534个(13.4%)为严重级。
* 已确认76个恶意载荷,其中8个仍存在于ClawHub上。(图源:Snyk)
另一家机构Koi Security审计2857个技能,发现341个恶意样本。
主要攻击手法:
1. 脚本执行:诱导AI连接陌生IP下载并执行恶意代码,或窃取SSH、AWS配置等敏感信息。
2. 提示词注入:在 SKILL.md中隐藏恶意指令,诱导AI将其误认为正常工作说明执行。
3. 数据窃取:专门针对智能体存储的隐私对话记忆文件进行窃取。
与npm风险的本质区别:
npm中毒主要影响构建产物,数据与指令分离;而Skill将提示词、代码、系统权限三者融合。一个 SKILL.md即可改写智能体行为,并直接访问文件系统、网络及Shell。
npm的风险限于构建环境,而Skill的风险直通本地凭证与整个代码库。
Vercel建议:
将技能视为代码,安装前务必阅读源码,特别警惕 scripts/目录。
判断原则:
下载量不等于安全性。应重点关注来源与权限。例如,一个查询天气的技能若要求读取SSH密钥,显然存在异常。
结语:AI能力的「npm时刻」
AI能力的「npm时刻」已然到来。
但这并非只有便利,npm生态曾踩过的坑也一并被引入,且发生在生态成熟之前。
一行命令集成能力固然高效,但这条路才刚刚起步。它在促进同行经验复用的同时,也要求开发者保持审慎的判断力。
挑包、看源、验权限——这套开发者传统技艺,在AI时代依然不可或缺。
二十年,一行命令
这一切的起点,归于Vercel创始人Guillermo Rauch。
Rauch来自阿根廷布宜诺斯艾利斯的Lanús区。他坦言,其职业生涯大半得益于Web与开源社区。
少年时期,他热衷推广Linux;随后投身JavaScript,加入开源项目MooTools核心团队。18岁时,他获得第一份前端工程师全职工作,移居旧金山。

Guillermo Rauch
他的成名作之一是 Socket.io,一个广泛使用的实时通信库,支撑了Notion的实时同步及Coinbase早期交易产品。
此后,Rauch瞄准了工具与云基础设施领域,致力于提升Web速度与开发者体验,由此诞生了 Next.js与 Vercel。
如今,该平台支撑着华盛顿邮报、保时捷、Under Armour、任天堂等企业的线上业务。
Vercel的核心竞争力在于:写代码、预览、上线,一条命令搞定。开发者一旦接入,便难以脱离该生态。
Rauch二十年的核心哲学始终未变:将复杂的工程流程,压缩为开发者敢闭眼运行的一行命令。
从早期的 now起服务器,到Next.js,再到如今的 npx skills add,同一套理念在AI智能体时代得到了延续与升华。
参考资料:
- https://github.com/vercel-labs/skills#supported-agents
- https://www.skills.sh/
- https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/
编辑:元宇



本文地址:https://www.dr-wine.com/html/357b12399519.html
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。