赛事资讯详情
以往开发者们交流的焦点是提示词(prompt)模板,而如今,人们更关注应该安装哪些技能(skill)。这一变化标志着AI编程工具正在迎来一个重大的转型——实现「装包」功能。
1月17日,Vercel创始人兼CEO Guillermo Rauch在X上宣布,Vercel推出了名为skills的AI技能「npm」。正如前端工程师使用npm包管理器一行命令即可集成他人开发的组件一样,Rauch的意图是将这种便捷的集成体验延伸至AI领域。
Peter Steinberger(被誉为「龙虾之父」)对此表示赞赏,并立即提出需要与ClawHub进行同步。ClawHub是另一个智能体生态的技能市场,与Vercel并非同一实体,但Peter的反应表明了跨平台协作的趋势。
三天后,Vercel在其更新日志中正式发布了skills:一个用于安装和管理智能体能力包的命令行工具。该工具的官方仓库vercel-labs/skills,在短短五个月内就在GitHub上获得了2.4万个星标。
其成功之处在于其极简的操作方式:只需一行命令 npx skills add 即可完成安装。这实质上是为AI智能体(AI agent)提供了一个包管理器。与npm为项目安装代码库不同,skills安装的是AI的「能力」。
更值得注意的是,skills支持广泛的AI工具,包括Claude Code、Cursor、Codex、Gemini CLI等,官方已支持超过68种智能体。这意味着一个能力包可以在多种工具中运行。
Vercel还同步推出了skills.sh,一个技能目录及安装量排行榜网站,清晰展示了哪些技能最受欢迎以及它们的安装次数。其中,名为find-skills的包安装量已突破230万次,成为排行榜的榜首。这标志着AI编程能力首次拥有了「热门下载」的排行榜。
一行命令:AI掌握新技能
通过执行 npx skills add vercel-labs/agent-skills 命令,用户可以在几秒钟内为Claude Code添加一套React、Next.js的工程规范和设计准则,使其在后续的代码编写中遵循这些规则。
官方将这些打包的功能称为「技能包(skill)」,其核心是一个带有YAML头的SKILL.md文件,用于描述技能的性质和使用场景。技能包还可以包含参考文档、模板以及一个专门的 scripts/ 目录,用于存放可执行脚本。
这一功能解决了AI模型在理解项目特定「土规矩」,如代码风格、命名习惯和常见陷阱等方面的不足。过去需要反复向AI解释的细节,现在可以通过一个skill包一次性集成并长期生效。用户还可以像管理npm包一样,使用list查看已安装的技能,update进行更新,以及remove进行卸载。
底层共享规范使得在Claude Code中安装的技能,也能在Cursor等其他工具中运行。
对于不想安装的用户,还可以选择临时使用技能。通过 npx skills use 命令,可以临时加载技能并将其接入AI工作流程,用完即走,不占用本地资源。这标志着AI能力不再局限于用户口头描述,而是变成了可以直接获取和使用的模块。
AI工具层的「npm化」
尽管skills看起来像是Claude的新功能,但它实际上是由Vercel推出的,并非Anthropic的原生能力。skills CLI集成了Claude Code、Cursor、Codex、GitHub Copilot、Windsurf等多种AI工具,提供了一个统一的入口。
这标志着AI工具层正经历「npm化」的过程,Vercel将零散的开发经验封装成可复用、可分发、可版本管理的模块。AI能力正从「提示词工程」向「能力工程(capability engineering)」演进,从解决「这一次如何说」转变为解决「以后都这么做」。
Vercel曾凭借Next.js在前端生态中占据关键位置,如今,他们希望在AI智能体层面复制这一成功。
Find Skills:AI的首个「能力搜索引擎」
Find Skills功能尤具前瞻性,它是一个「找技能的技能」。当用户提出「如何做X」或「有没有能……的技能」的需求时,find-skills会负责搜索并安装最匹配的智能体技能。
该技能的官方定义指出,当用户询问如何完成某项任务或希望扩展AI能力时,find-skills会自动化整个流程:搜索、筛选并安装最合适的技能。
更重要的是,find-skills自带质量检测机制。它会根据安装量和来源对技能进行评估,优先推荐热门或官方来源的技能,并对来源不明的技能发出警告。
find-skills的SKILL.md源码明确了推荐前的三项质检规则:优先选择安装量超过1000的技能,警惕安装量低于100的;优先选择来自Vercel、Anthropic、微软等官方来源的技能;对仓库星标低于100的技能持谨慎态度。
这使得AI首次拥有了自己的「能力搜索引擎」。用户无需了解具体的技能名称,只需说明需求,AI即可自动寻找并安装。
该功能不仅对程序员有益,对于依赖AI完成代码编写的设计师、产品经理、内容创作者等非技术背景用户而言,更具实际意义。他们往往缺乏工程化习惯,更需要现成的技能包来辅助工作。Find Skills为他们提供了一个无需深入了解技术细节即可调用AI能力的入口。
热闹背后的风险
尽管skills功能前景光明,但也伴随着潜在风险。技能包中的脚本会直接在用户计算机上执行命令,用户通常难以完全了解其具体操作。
安全公司Snyk的研究对ClawHub和skills.sh上的3984个技能进行了审计,发现超过三成存在安全缺陷,其中13.4%(534个)属于严重级别,涉及恶意软件分发、提示词注入(prompt injection)和密钥泄露。平均每7到8个技能中就可能存在一个安全隐患。
另一家机构Koi Security审计了2857个技能,发现了341个恶意技能。攻击手段主要有两种:一是通过脚本让AI下载并执行未知来源的文件,或窃取SSH、AWS配置信息;二是利用SKILL.md文件中的恶意指令,AI会将攻击者的指令误认为正常工作内容并执行。更严重的攻击还会窃取智能体存储隐私对话的记忆文件。
与npm包主要影响构建产物不同,skills将提示词、代码和权限融合在一起,一个SKILL.md文件就能直接修改智能体的行为,并可能访问用户的本地文件系统、网络和shell。这使得skills带来的安全风险比npm更大,可能直接威胁到用户的本地凭证和整个代码库。
Vercel也提醒用户,应像对待代码一样对待技能包,安装前仔细阅读,并对scripts目录保持高度警惕。一个简单的判断是:一个请求天气信息的技能,如果要求读取SSH密钥,则存在明显的可疑之处。
AI能力的「npm时刻」已经到来,但它不仅带来了便利,也带来了npm生态中存在的安全问题,并且这些问题在生态成熟之前就已显现。虽然一行命令安装能力十分诱人,但这一领域仍处于早期阶段。它让用户能够复用他人的经验,但也要求用户在选择和使用时保持审慎。
如同开发者在处理npm包时需要具备的判断力一样,在使用skills时,也需要关注包的来源、权限以及进行必要的安全检查。
二十年:一行命令的演进
这一切的起点可以追溯到Vercel创始人Guillermo Rauch。这位来自阿根廷布宜诺斯艾利斯的开发者,将他的大部分职业生涯奉献给了Web和开源技术。他少年时期便热衷于推广Linux,并很早就进入了JavaScript开发领域。
Rauch的成名作之一是Socket.io,一个广泛使用的实时通信库,为Notion、Coinbase等产品提供底层支持。之后,他专注于开发工具和云基础设施,旨在提升Web性能和开发者体验,由此催生了Next.js和Vercel。
Vercel平台目前支撑着《华盛顿邮报》、保时捷、Under Armour、任天堂等众多知名公司的线上业务。其核心竞争力在于提供从代码编写、预览到上线的全流程自动化,通过「一行命令」将复杂的工程流程简化,让开发者能够轻松上手。
从早期的 now 命令创建服务器,到Next.js框架,再到如今的 npx skills add,Rauch始终致力于将复杂的技术挑战压缩成开发者可以信任并执行的一行命令。这一理念如今被应用于AI智能体领域。
参考资料:
想了解更多金年会官网相关内容,尽在金年会。
昵称
2026年5月15日
金年会致力于为全球体育爱好者提供最全面、最及时的赛事信息与深度分析。我们整合热门赛事新闻、比分数据与专题动态内容,满足不同用户的观赛需求,确保您不错过任何精彩瞬间。
回复 »