过往,开发者们交流的焦点是提示词(prompt)模板。如今,趋势已变,大家更关心的是安装哪些技能(skill)。这背后反映了一个重大的范式转变:AI编程工具正走向「模块化」安装。
今年1月17日,Vercel创始人兼CEO Guillermo Rauch在X平台宣布,他们正推出skills,可视为AI技能的「npm」。npm是前端工程师常用的包管理器,允许开发者通过一行命令将他人开发的功能集成到自己的项目中。Rauch的意图是,这种「一行命令集成他人成果」的便捷体验,即将被引入AI领域。
“龙虾之父”Peter Steinberger对此表示赞赏,并立即提出需要与ClawHub同步。ClawHub是另一个智能体生态的技能市场,与Vercel并非同源,但Peter的反应表明了跨平台协作的潜力。
三天后,Vercel在其更新日志中正式发布了skills:一个用于智能体安装和管理能力包的命令行工具。该工具的官方仓库vercel-labs/skills,在短短五个月内,GitHub星标已突破2.4万。
其受欢迎的原因在于操作的极简性,仅需一行命令:npx skills add 。本质上,它扮演着AI智能体(AI agent)的包管理器角色。如同npm帮助前端开发者安装代码库,skills则让AI智能体能够安装「能力」。
更值得注意的是,skills具有广泛的兼容性,支持Claude Code、Cursor、Codex、Gemini CLI等超过68种智能体,一套能力包可跨平台使用。Vercel还推出了skills.sh,一个技能目录和安装量排行榜网站,清晰展示了各技能的热度和使用情况。其中,名为find-skills的技能包安装量已高达230万次。AI编程能力的排行榜由此诞生。
一行命令,AI学会了一门新手艺
通过执行npx skills add vercel-labs/agent-skills命令,用户可以在几秒钟内为Claude Code添加一套React、Next.js的工程规范及设计准则。这些被称为「技能包(skill)」,本质上是一个包含YAML头部SKILL.md文件的文件夹,其中详细说明了技能的定义和适用场景。文件夹内还可以包含参考文档、模板以及可执行脚本。
该工具解决了模型在理解通用编程语言和框架的同时,却不了解特定项目“土规矩”(代码风格、命名习惯、常见陷阱)的痛点。以往需要反复向AI解释的定制化要求,现在可以通过打包成skill,一次性安装并长期生效。用户还可以像管理npm包一样,使用list查看已安装技能,update进行更新,remove进行卸载。底层共享规范的特性使得在Claude Code中安装的技能,同样能在Cursor中运行。
对于追求更轻量级使用的用户,还可以选择npx skills use命令,临时调用技能并与Claude结合使用,用完即走,不留痕迹。这标志着AI的能力边界,从依赖口头描述转变为可以直接获取和使用的模块化「货架商品」。
AI工具层的「npm化」
尽管skills看似是Claude的新功能,但它源自Vercel,而非Anthropic的原生开发。它统一了Claude Code、Cursor、Codex、GitHub Copilot、Windsurf等多种AI工具的入口,实现了AI工具层的「npm化」。Vercel将零散的开发经验封装成可复用、可分发、可版本管理的模块。AI能力的发展正从「提示词工程」转向「能力工程(capability engineering)」,前者关注单次交互的表达,后者则致力于建立长期、标准化的工作流程。
Vercel在此前通过Next.js在前端生态中占据了关键位置,如今,它试图在AI智能体层面复制这一战略。
Find Skills,AI第一次有了「能力搜索引擎」
Find Skills是该项目中最具前瞻性的部分,它是一个「寻找技能的技能」。其官方定义是,当用户询问如何完成某项任务或扩展AI能力时,find-skills负责发现并安装最合适的智能体技能。用户只需描述需求,它便能自动完成搜索、筛选和安装过程。
find-skills在推荐技能时会进行初步的安全和质量检查,优先选择安装量高、来源可信的技能,并对来源不明或安装量低的技能发出警告。这使得AI首次拥有了自己的「能力搜索引擎」,用户无需了解具体技能名称,只需表达需求,AI即可自主完成匹配。
更重要的是,这项功能不仅限于程序员。对于设计师、产品经理、内容创作者等非技术用户而言,他们更需要现成的技能包来辅助工作。Find Skills为他们提供了一个无需深入了解技术细节即可调用AI能力的入口。
热闹背后,是一笔没人兜底的账
尽管skills带来了诸多便利,但其潜在风险不容忽视。技能包中包含可执行脚本,可能对用户系统造成影响。安全公司Snyk的研究显示,在ClawHub和skills.sh上的技能中,超过三成存在安全缺陷,其中13.4%为严重级别,包括恶意软件分发、提示词注入和密钥泄露。另一机构Koi Security也发现了大量恶意技能。
攻击手法主要有两种:一是通过脚本执行恶意操作,如从陌生IP下载文件或窃取用户凭证;二是利用SKILL.md文件中的隐藏指令,诱导AI执行非预期操作,甚至窃取智能体的记忆文件。
与npm安装纯代码不同,skills将提示词、代码和权限整合,一个SKILL.md文件即可修改智能体的行为,并可能访问本地文件系统、网络和shell,其潜在风险远超npm。
Vercel也提醒用户,应将技能视为代码,安装前仔细审查,特别是scripts目录。下载量大不代表安全,关键在于来源和权限。例如,一个天气查询技能若要求读取SSH密钥,则存在明显异常。
AI能力的「npm时刻」已然到来,带来了便利的同时,也继承了npm早期发展中遇到的安全问题,且可能更为严峻。虽然一行命令安装能力令人兴奋,但这一领域尚处于起步阶段。用户在享受同行积累的技能复用的同时,也需要具备辨别能力,仔细审查来源和权限,这套开发者的基本功在当前依然至关重要。
二十年,一行命令
这一切的起点,是Vercel创始人Guillermo Rauch。他来自阿根廷,一生事业深受Web和开源影响。从少年时期推广Linux,到加入MooTools核心团队,再到18岁成为前端工程师,Rauch一直致力于简化复杂的技术流程。
他的代表作Socket.io被广泛应用于实时通信领域。此后,他专注于工具和云基础设施的开发,旨在提升Web性能和开发者体验,由此诞生了Next.js和Vercel平台,为众多知名公司提供服务。Vercel的核心竞争力在于其“写代码、预览、上线,一条命令搞定”的流程,极大地提升了开发者效率。
Rauch二十年如一日,致力于将复杂工程压缩成开发者信赖的「一行命令」。从now命令启动服务器,到Next.js,再到如今的npx skills add,他将这种精炼开发者体验的理念,成功迁移到了AI智能体领域。

知名体育记者
2026年5月15日 回复我们的核心价值在于通过高效便捷的平台服务与稳定流畅的赛事播放体验,为用户带来更加轻松的观赛环境。无论是精彩的进球瞬间还是关键的比赛节点,快直播都能确保您不错过。