狂揽2.4万星标:一行命令,AI会自己找技能了
创始人
2026-07-05 16:33:07
0

(来源:新智元)

新智元报道  

【新智元导读】从前是人给AI装能力,如今是AI自己去找。

以往,开发者们见面交换的是提示词(prompt)模板。

现在,风向变了。大家在互相打听的,是你该装哪个技能(skill)。

这背后,藏着一个更大的转变:AI编程工具,开始「装包」了。

今年1月17日上午,Vercel创始人兼CEO Guillermo Rauch在X上发了一条推文:我们正在推出skills——AI技能的「npm」。

所谓「npm」,是前端工程师天天用的那个包管理器,一行命令就能把别人写好的东西装进自己的项目。

Rauch的言下之意是:这套「一行命令装好别人成果」的体验,这次要搬到AI身上了。

「龙虾之父」的Peter Steinberger第一时间回了一句:「酷!得跟ClawHub同步一下。」

ClawHub是另一套智能体生态的技能市场,跟Vercel并非一家。可Peter的第一反应却是「要对齐」。

三天后,Vercel在更新日志里正式官宣了它:一个为智能体安装和管理能力包的命令行工具。

这个官方仓库vercel-labs/skills,发布仅五个月,GitHub星标就冲到了2.4万。

凭什么这么火?简单到只有一行命令:

npx skills add 。

说白了,它就是AI智能体(AI agent)的包管理器。

像前端工程师天天用的npm,一行命令把别人写好的东西装进项目,只不过这回装的不是代码库,而是「能力」。

更狠的是,它不挑工具。Claude Code、Cursor、Codex、Gemini CLI……官方支持的智能体已经超过68个。一份能力包,装进哪个工具都能跑。

Vercel还顺手上线了skills.sh,一个技能目录加安装量排行榜,哪个技能火、被装了多少次,一目了然。

榜首名叫find-skills的包,安装量已经冲到230万次。

skills.sh技能目录安装量排行榜,find-skills以230万次(2.3M)安装量居首,frontend-design、vercel-react-best-practices等紧随其后。(图源:skills.sh)

AI编程能力,第一次有了「热门下载」的排行榜。

一行命令

AI学会了一门新手艺

先看它到底干了什么。

npx skills add vercel-labs/agent-skills,回车。

几秒钟后,你的Claude Code就多了一套React、Next.js的工程规范,外加一套设计准则。下次它写代码,自动按这套规矩来。

这套东西,官方叫「技能包(skill)」。本质上是一个文件夹,核心是一份带YAML头的SKILL.md,写清楚两件事:这个技能是什么,什么时候该用。

文件夹里还能放参考文档、模板,以及一个专门的scripts/目录,里面是能直接执行的脚本。

它解决的痛点特别实在。

模型懂通用的编程语言和框架,可它不懂你这个项目的「土规矩」:你们的代码风格、命名习惯、踩过的坑。

以前这些只能靠你每次开新对话一遍遍复述,现在打包成一个skill,装一次,长期生效。

装完还能像管npm包一样管它:list看装了哪些,update一键更新,remove删掉。

底层是一套共享规范,你给Claude Code装的,换到Cursor照样跑。

要是连装都嫌麻烦,还有更轻的玩法:不装,直接用。

一条npx skills use,把技能临时拉过来,管道一接喂给Claude跑,用完即走,连本地目录都不会「弄脏」。

过去AI的能力边界,靠你嘴皮子怎么描述。现在,能力变成了货架上一个个可以直接取下来的包。

AI工具层的「npm化」

很多人可能会把它当成Claude的新功能。但它来自Vercel,并非Anthropic的原生能力。

Claude Code、Cursor、Codex、GitHub Copilot、Windsurf……全是被支持的对象,skills CLI把它们一股脑接进来,统一一个入口。

入口背后,是AI工具层开始「npm化」了。

Vercel把这些零散经验封装成可复用、可分发、可版本管理的模块。

AI能力,正从「提示词工程」走向「能力工程(capability engineering)」。前者解决「这一次怎么说」,后者解决「这件事以后都这么干」。

这套打法,Vercel玩过一次。

当年它靠Next.js卡住了整个前端生态的部署入口,前端开发者绕不开它。

如今它想在AI智能体这一层,把同样的故事再讲一遍。

Find Skills

AI第一次有了「能力搜索引擎」

最有未来感的一笔,是Find Skills,这是一个「找技能的技能」。

find-skills技能的官方定义——当用户问「如何做X」「有没有能……的技能」,或想扩展能力时,它负责发现并安装对应的智能体技能。

你说一句「帮我做X」,它就替你跑完一整套流程:搜索、筛选、装上最匹配的那个。

更省心的是它还自带一道质检。挑技能时,它会看安装量、比来源,热门的、官方出品的优先,来路不明的会提醒你悠着点。

find-skills技能的SKILL.md源码,明确写入推荐前的三道验质规则:安装量优先1000+、警惕100以下,来源优先Vercel、Anthropic、微软等官方源,仓库星标低于100要存疑。

这意味着,AI第一次有了自己的「能力搜索引擎」。你不必知道有哪些技能、叫什么名字,只管说要干嘛,剩下的交给它去找。

更重要的是,它不只对程序员有用。

真正被「能力散装」折磨得最狠的,恰恰是借AI写代码的设计师、产品经理、内容创作者等。

他们没有工程化的习惯,git提交、文档规范全靠AI兜着,反而最需要现成的技能包来撑。

Find Skills等于给了他们一个不用懂行也能调兵遣将的入口。

热闹背后

是一笔没人兜底的账

听起来很美,可别急着上头。

回到那个scripts目录。技能里带的是执行逻辑,不是几句无害的说明,它真的会在你电脑里跑命令。

可你随手装的第三方包究竟动了哪些文件,多数人根本不看。

这其中到底可能藏着多少雷?

安全公司Snyk的ToxicSkills研究,对ClawHub与skills.sh上的3984个技能做了首次系统审计:超三成带安全缺陷,13.4%(534个)属严重级,涵盖恶意软件分发、提示词注入(prompt injection)、密钥泄露。

这意味着平均每7、8个里就有1个能直接坑到你。

Snyk「ToxicSkills」研究审计3984个技能:1467个(36.82%)带任一安全缺陷,其中534个(13.4%)为严重级,已确认76个恶意载荷,另有8个至今仍存在于ClawHub上。(图源:Snyk)

另一家机构Koi Security审计2857个,查出341个恶意。

主要的手法,无非两条路。

一条是走脚本,让你的AI跑去陌生IP下载东西就地执行,或偷读你的SSH、AWS配置;

另一条更隐蔽,直接在SKILL.md的文字里下毒,AI把攻击者的隐藏指令当成正经工作说明来读,照做不误。

最狠的还会专偷智能体存着隐私对话的记忆文件。

你可能会说,npm不也天天爆投毒吗,但这次的雷是另一个量级。

npm装的是纯代码,数据和指令分得开;skill把这条边界抹掉了,它是提示词、代码、完整权限三样捏在一起,一个SKILL.md就能改写智能体的行为,还直通你的文件系统、网络和shell。

npm的雷顶多炸构建产物,skill的雷直通你的本地凭证和整个代码库。

当然,这不是劝你别装。Vercel自己也提醒:把技能当代码看,装前读一遍,对scripts目录格外小心。

一条最朴素的判断是,下载量大不等于安全,真正该看的是来源和权限。一个查天气的技能,张口要读你服务器的SSH密钥,它要这个干什么?

盼了很久的AI能力的「npm时刻」真的来了。

只是它没只带来便利,连npm这些年踩过的坑也一并打包寄到,还抢在生态成熟之前。

一行命令装好能力固然很爽,但这条路才刚起步。它让你复用同行沉淀的本事,同时也需要你带着判断进场。

挑包、看源、验权限,这套开发者的老手艺,这一回照样得带上。

二十年

一行命令

说到底,这一切的起点,还是Vercel创始人Guillermo Rauch。

他来自阿根廷布宜诺斯艾利斯的Lanús区。用他自己的话说,他这一生的事业,大半都归功于Web和开源。

少年时他热衷推广Linux,教人上手,后来一头扎进JavaScript;加入开源项目MooTools核心团队后,18岁拿到第一份前端工程师全职工作,搬到了旧金山。

Guillermo Rauch

他的成名作之一是Socket.io:一个广为使用的实时通信库,Notion的实时同步、Coinbase最早的交易产品,底层跑的都是它。

之后他看准了一个方向:做工具和云基础设施,让Web更快,把开发者体验做到极致。Next.js和Vercel就此诞生。

如今这套平台撑着华盛顿邮报、保时捷、Under Armour、任天堂等公司的线上业务。

而Vercel真正的杀招就藏在这里:写代码、预览、上线,一条命令搞定。开发者一旦用上,就很难再走出这套体系。

说到底,Rauch二十年只做一件事:把原本复杂的工程,压缩成开发者敢闭眼运行的那一行命令。

从一行now起一个服务器,到Next.js,再到今天的npx skills add,同一套手艺,这次搬到了AI智能体身上。

参考资料:

https://github.com/vercel-labs/skills#supported-agents

https://www.skills.sh/

https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/

编辑:元宇

相关内容

海正药业就创新药TISA-...
来源:上海证券报·中国证券网上证报中国证券网讯 7月4日,海正药业...
2026-07-05 17:34:35
军信股份签署吉尔吉斯垃圾处...
7月5日,军信股份(301109)发布公告,签署了吉尔吉斯共和国伊...
2026-07-05 17:34:26
LV在中国疯狂打官司LV注...
(来源:千龙网) 【#...
2026-07-05 17:34:18
韩国上半年K-Food P...
(来源:AJU视界)韩国上半年K-Food Plus出口创新高韩国...
2026-07-05 17:34:08
“中国机遇2.0”的不同打...
(来源:经济日报)转自:经济日报西班牙车企埃夫罗与中国车企奇瑞在巴...
2026-07-05 17:33:58
云南专属!7月10日起,医...
日前云南省医疗保障局官网发布《云南省医疗保障局云南省财政厅云南省卫...
2026-07-05 17:33:48
上半年“光”宗,下半年“药...
  炒股就看金麒麟分析师研报,权威,专业,及时,全面,助您挖掘潜力...
2026-07-05 17:33:37
为何用球砸姆巴佩,巴拉圭门...
北京时间7月5日,美加墨世界杯八分之一决赛中,法国队凭借姆巴佩的点...
2026-07-05 17:33:02
甜玉米精心筹备多重浪漫惊喜
【#甜玉米精心筹备多重浪漫惊喜#】#梓渝生日许愿提前兑现# 近日,...
2026-07-05 17:32:46

热门资讯

海正药业就创新药TISA-81... 来源:上海证券报·中国证券网上证报中国证券网讯 7月4日,海正药业发布公告,公司拟引进由艾缇亚(上海...
军信股份签署吉尔吉斯垃圾处理项... 7月5日,军信股份(301109)发布公告,签署了吉尔吉斯共和国伊塞克湖州垃圾科技处置项目特许经营协...
LV在中国疯狂打官司LV注册多... (来源:千龙网) 【#LV在中国疯狂打官司##LV注册多...
韩国上半年K-Food Plu... (来源:AJU视界)韩国上半年K-Food Plus出口创新高韩国农林畜产食品部5日表示,今年上半年...
“中国机遇2.0”的不同打开方... (来源:经济日报)转自:经济日报西班牙车企埃夫罗与中国车企奇瑞在巴塞罗那合资运营的工厂近期启用全新生...
云南专属!7月10日起,医保支... 日前云南省医疗保障局官网发布《云南省医疗保障局云南省财政厅云南省卫生健康委员会国家税务总局云南省税务...
上半年“光”宗,下半年“药”祖...   炒股就看金麒麟分析师研报,权威,专业,及时,全面,助您挖掘潜力主题机会!   来源:中国基金报...
为何用球砸姆巴佩,巴拉圭门将回... 北京时间7月5日,美加墨世界杯八分之一决赛中,法国队凭借姆巴佩的点球破门,1比0战胜巴拉圭队,成功晋...
甜玉米精心筹备多重浪漫惊喜 【#甜玉米精心筹备多重浪漫惊喜#】#梓渝生日许愿提前兑现# 近日,田栩宁梓渝粉丝“甜玉米”筹备巨幕灯...
人民日报头版关注:北京加强红色... 北京加强红色资源保护和利用——传播红色文化 厚植家国情怀(牢记初心使命 奋进复兴征程)首都北京,革命...