网易首页 > 网易号 > 正文 申请入驻

狂揽2.4万星标:一行命令,AI会自己找技能了

0
分享至


新智元报道


【新智元导读】从前是人给AI装能力,如今是AI自己去找。

以往,开发者们见面交换的是提示词(prompt)模板。

现在,风向变了。大家在互相打听的,是你该装哪个技能(skill)。

这背后,藏着一个更大的转变:AI编程工具,开始「装包」了。

今年1月17日上午,Vercel创始人兼CEO Guillermo Rauch在X上发了一条推文:我们正在推出skills——AI技能的「npm」。

所谓「npm」,是前端工程师天天用的那个包管理器,一行命令就能把别人写好的东西装进自己的项目。

Rauch的言下之意是:这套「一行命令装好别人成果」的体验,这次要搬到AI身上了。


「龙虾之父」的Peter Steinberger第一时间回了一句:「酷!得跟ClawHub同步一下。」


ClawHub是另一套智能体生态的技能市场,跟Vercel并非一家。可Peter的第一反应却是「要对齐」。

三天后,Vercel在更新日志里正式官宣了它:一个为智能体安装和管理能力包的命令行工具。

这个官方仓库vercel-labs/skills,发布仅五个月,GitHub星标就冲到了2.4万。


凭什么这么火?简单到只有一行命令:

npx skills add 。

说白了,它就是AI智能体(AI agent)的包管理器。

像前端工程师天天用的npm,一行命令把别人写好的东西装进项目,只不过这回装的不是代码库,而是「能力」。

更狠的是,它不挑工具。Claude Code、Cursor、Codex、Gemini CLI……官方支持的智能体已经超过68个。一份能力包,装进哪个工具都能跑。

Vercel还顺手上线了skills.sh,一个技能目录加安装量排行榜,哪个技能火、被装了多少次,一目了然。

榜首名叫find-skills的包,安装量已经冲到230万次。


skills.sh技能目录安装量排行榜,find-skills以230万次(2.3M)安装量居首,frontend-design、vercel-react-best-practices等紧随其后。(图源:skills.sh)

AI编程能力,第一次有了「热门下载」的排行榜。

一行命令

AI学会了一门新手艺

先看它到底干了什么。

npx skills add vercel-labs/agent-skills,回车。

几秒钟后,你的Claude Code就多了一套React、Next.js的工程规范,外加一套设计准则。下次它写代码,自动按这套规矩来。

这套东西,官方叫「技能包(skill)」。本质上是一个文件夹,核心是一份带YAML头的SKILL.md,写清楚两件事:这个技能是什么,什么时候该用。

文件夹里还能放参考文档、模板,以及一个专门的scripts/目录,里面是能直接执行的脚本。

它解决的痛点特别实在。

模型懂通用的编程语言和框架,可它不懂你这个项目的「土规矩」:你们的代码风格、命名习惯、踩过的坑。

以前这些只能靠你每次开新对话一遍遍复述,现在打包成一个skill,装一次,长期生效。

装完还能像管npm包一样管它:list看装了哪些,update一键更新,remove删掉。

底层是一套共享规范,你给Claude Code装的,换到Cursor照样跑。

要是连装都嫌麻烦,还有更轻的玩法:不装,直接用。

一条npx skills use,把技能临时拉过来,管道一接喂给Claude跑,用完即走,连本地目录都不会「弄脏」。

过去AI的能力边界,靠你嘴皮子怎么描述。现在,能力变成了货架上一个个可以直接取下来的包。

AI工具层的「npm化」

很多人可能会把它当成Claude的新功能。但它来自Vercel,并非Anthropic的原生能力。

Claude Code、Cursor、Codex、GitHub Copilot、Windsurf……全是被支持的对象,skills CLI把它们一股脑接进来,统一一个入口。

入口背后,是AI工具层开始「npm化」了。

Vercel把这些零散经验封装成可复用、可分发、可版本管理的模块。

AI能力,正从「提示词工程」走向「能力工程(capability engineering)」。前者解决「这一次怎么说」,后者解决「这件事以后都这么干」。

这套打法,Vercel玩过一次。

当年它靠Next.js卡住了整个前端生态的部署入口,前端开发者绕不开它。

如今它想在AI智能体这一层,把同样的故事再讲一遍。

Find Skills

AI第一次有了「能力搜索引擎」

最有未来感的一笔,是Find Skills,这是一个「找技能的技能」。


find-skills技能的官方定义——当用户问「如何做X」「有没有能……的技能」,或想扩展能力时,它负责发现并安装对应的智能体技能。

你说一句「帮我做X」,它就替你跑完一整套流程:搜索、筛选、装上最匹配的那个。

更省心的是它还自带一道质检。挑技能时,它会看安装量、比来源,热门的、官方出品的优先,来路不明的会提醒你悠着点。


find-skills技能的SKILL.md源码,明确写入推荐前的三道验质规则:安装量优先1000+、警惕100以下,来源优先Vercel、Anthropic、微软等官方源,仓库星标低于100要存疑。

这意味着,AI第一次有了自己的「能力搜索引擎」。你不必知道有哪些技能、叫什么名字,只管说要干嘛,剩下的交给它去找。

更重要的是,它不只对程序员有用。

真正被「能力散装」折磨得最狠的,恰恰是借AI写代码的设计师、产品经理、内容创作者等。

他们没有工程化的习惯,git提交、文档规范全靠AI兜着,反而最需要现成的技能包来撑。

Find Skills等于给了他们一个不用懂行也能调兵遣将的入口。

热闹背后

是一笔没人兜底的账

听起来很美,可别急着上头。

回到那个scripts目录。技能里带的是执行逻辑,不是几句无害的说明,它真的会在你电脑里跑命令。

可你随手装的第三方包究竟动了哪些文件,多数人根本不看。

这其中到底可能藏着多少雷?

安全公司Snyk的ToxicSkills研究,对ClawHub与skills.sh上的3984个技能做了首次系统审计:超三成带安全缺陷,13.4%(534个)属严重级,涵盖恶意软件分发、提示词注入(prompt injection)、密钥泄露。

这意味着平均每7、8个里就有1个能直接坑到你。


Snyk「ToxicSkills」研究审计3984个技能:1467个(36.82%)带任一安全缺陷,其中534个(13.4%)为严重级,已确认76个恶意载荷,另有8个至今仍存在于ClawHub上。(图源:Snyk)

另一家机构Koi Security审计2857个,查出341个恶意。

主要的手法,无非两条路。

一条是走脚本,让你的AI跑去陌生IP下载东西就地执行,或偷读你的SSH、AWS配置;

另一条更隐蔽,直接在SKILL.md的文字里下毒,AI把攻击者的隐藏指令当成正经工作说明来读,照做不误。

最狠的还会专偷智能体存着隐私对话的记忆文件。

你可能会说,npm不也天天爆投毒吗,但这次的雷是另一个量级。

npm装的是纯代码,数据和指令分得开;skill把这条边界抹掉了,它是提示词、代码、完整权限三样捏在一起,一个SKILL.md就能改写智能体的行为,还直通你的文件系统、网络和shell。

npm的雷顶多炸构建产物,skill的雷直通你的本地凭证和整个代码库。

当然,这不是劝你别装。Vercel自己也提醒:把技能当代码看,装前读一遍,对scripts目录格外小心。

一条最朴素的判断是,下载量大不等于安全,真正该看的是来源和权限。一个查天气的技能,张口要读你服务器的SSH密钥,它要这个干什么?

盼了很久的AI能力的「npm时刻」真的来了。

只是它没只带来便利,连npm这些年踩过的坑也一并打包寄到,还抢在生态成熟之前。

一行命令装好能力固然很爽,但这条路才刚起步。它让你复用同行沉淀的本事,同时也需要你带着判断进场。

挑包、看源、验权限,这套开发者的老手艺,这一回照样得带上。

二十年

一行命令


说到底,这一切的起点,还是Vercel创始人Guillermo Rauch。
他来自阿根廷布宜诺斯艾利斯的Lanús区。用他自己的话说,他这一生的事业,大半都归功于Web和开源。

少年时他热衷推广Linux,教人上手,后来一头扎进JavaScript;加入开源项目MooTools核心团队后,18岁拿到第一份前端工程师全职工作,搬到了旧金山。


Guillermo Rauch

他的成名作之一是Socket.io:一个广为使用的实时通信库,Notion的实时同步、Coinbase最早的交易产品,底层跑的都是它。

之后他看准了一个方向:做工具和云基础设施,让Web更快,把开发者体验做到极致。Next.js和Vercel就此诞生。

如今这套平台撑着华盛顿邮报、保时捷、Under Armour、任天堂等公司的线上业务。

而Vercel真正的杀招就藏在这里:写代码、预览、上线,一条命令搞定。开发者一旦用上,就很难再走出这套体系。

说到底,Rauch二十年只做一件事:把原本复杂的工程,压缩成开发者敢闭眼运行的那一行命令。

从一行now起一个服务器,到Next.js,再到今天的npx skills add,同一套手艺,这次搬到了AI智能体身上。

参考资料:

https://github.com/vercel-labs/skills#supported-agents

https://www.skills.sh/

https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/

编辑:元宇




特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
坐拥全球规模最大的铁矿,玻利维亚想要卖给中国,为何会拒绝?

坐拥全球规模最大的铁矿,玻利维亚想要卖给中国,为何会拒绝?

古史青云啊
2026-07-05 14:14:37
涉案金额过亿 刘应成(原法名释永信)一审被判有期徒刑24年

涉案金额过亿 刘应成(原法名释永信)一审被判有期徒刑24年

每日经济新闻
2026-05-30 00:42:59
姆巴佩点走巴拉圭:巴黎三代左锋传承

姆巴佩点走巴拉圭:巴黎三代左锋传承

张佳玮写字的地方
2026-07-05 07:39:00
三伏天开窗还是关窗?大部分人都做反了,难怪家里热得像蒸笼!

三伏天开窗还是关窗?大部分人都做反了,难怪家里热得像蒸笼!

阿离家居
2026-07-05 14:55:43
原来他就是迟蓬的丈夫!是我们熟悉的资深大导演,公公是电影明星

原来他就是迟蓬的丈夫!是我们熟悉的资深大导演,公公是电影明星

皮皮电影
2026-07-04 13:38:31
两岸舰船对峙,美国已介入,中方开始立威,王毅给鲁比奥上了一课

两岸舰船对峙,美国已介入,中方开始立威,王毅给鲁比奥上了一课

阿芒娱乐说
2026-07-03 18:29:51
江青墓地简陋寒酸:看了碑文,就能明白李讷的苦心和无奈

江青墓地简陋寒酸:看了碑文,就能明白李讷的苦心和无奈

诗意世界
2025-05-21 09:00:02
业绩井喷!多家龙头上市公司,大幅预增!

业绩井喷!多家龙头上市公司,大幅预增!

证券时报e公司
2026-07-05 21:59:27
请客吃早餐花掉12万!全网都在找他

请客吃早餐花掉12万!全网都在找他

环球网资讯
2026-07-05 16:57:11
美媒评级30队今夏运作:76人爵士评A并列第一 湖勇B-火箭B开拓者D

美媒评级30队今夏运作:76人爵士评A并列第一 湖勇B-火箭B开拓者D

罗说NBA
2026-07-05 06:23:56
2026年最强反腐来了!中纪委:害群之马将清除到底!

2026年最强反腐来了!中纪委:害群之马将清除到底!

细说职场
2026-07-04 22:03:20
林志颖捂了12年的kimi,首次公开正面照,网友:这脸,判若俩人……

林志颖捂了12年的kimi,首次公开正面照,网友:这脸,判若俩人……

可读
2026-06-25 23:21:52
人最顶级的养生是什么看网友讲述,原来我身在福中不知福。

人最顶级的养生是什么看网友讲述,原来我身在福中不知福。

侃神评故事
2026-07-02 16:25:29
美军已经插手,日本准备掀桌,钓鱼岛争端升级,中方先封高市退路

美军已经插手,日本准备掀桌,钓鱼岛争端升级,中方先封高市退路

健身狂人
2026-07-05 19:47:48
如果你立志把炒股当作铁饭碗,本文将是你的垫脚石,很短但很深!

如果你立志把炒股当作铁饭碗,本文将是你的垫脚石,很短但很深!

一方聊市
2026-07-02 09:15:03
特朗普与普京通话1小时25分钟,还和泽连斯基打电话!普京:俄军正发起全线进攻!乌军:打击了俄军3个指挥所、5个无人机指挥所

特朗普与普京通话1小时25分钟,还和泽连斯基打电话!普京:俄军正发起全线进攻!乌军:打击了俄军3个指挥所、5个无人机指挥所

每日经济新闻
2026-07-05 09:28:04
波尔津吉斯生涯合同盘点:打打停停,仍3次拿下肥约,赚2.7亿太强

波尔津吉斯生涯合同盘点:打打停停,仍3次拿下肥约,赚2.7亿太强

大西体育
2026-07-05 20:47:24
陈毅为何总戴墨镜?主席称是为了挡杀气,多年后陈毅儿子道出真相

陈毅为何总戴墨镜?主席称是为了挡杀气,多年后陈毅儿子道出真相

雍亲王府
2026-07-05 13:45:05
里奇保罗直言哈登交易成阻碍,詹姆斯回归骑士利弊两相权衡

里奇保罗直言哈登交易成阻碍,詹姆斯回归骑士利弊两相权衡

林子说事
2026-07-05 20:40:35
NBA夏联:爵士加时1分险胜老鹰 榜眼彼得森首秀28+8失误

NBA夏联:爵士加时1分险胜老鹰 榜眼彼得森首秀28+8失误

醉卧浮生
2026-07-05 07:03:55
2026-07-05 23:44:49
新智元 incentive-icons
新智元
AI产业主平台领航智能+时代
15614文章数 66949关注度
往期回顾 全部

科技要闻

华为:逻辑折叠将大幅提升麒麟CPU核心频率

头条要闻

医院给老人一次拔12颗牙种10颗 官方:将顶格行政处罚

头条要闻

医院给老人一次拔12颗牙种10颗 官方:将顶格行政处罚

体育要闻

姆巴佩点走巴拉圭:巴黎三代左锋传承

娱乐要闻

霉霉婚礼照片泄露 有四人违规

财经要闻

揭秘跨境“对敲”换汇黑产

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

本地
游戏
时尚
公开课
军事航空

本地新闻

国内足球之旅?这座小城给你高分答案

Xbox想要下一代主机“价格亲民” 但同时还要盈利

3年赚46亿,杨幂喊出一个安徽富豪

公开课

李玫瑾:为什么性格比能力更重要?

军事要闻

普京与特朗普通话85分钟 细节公布

无障碍浏览 进入关怀版