skills.sh

• 1. 概要 （共 247 字）

  Skills.sh 是由 Vercel Labs 于 2026 年 1 月推出的开放 AI 智能体技能生态系统，由一个在线目录平台和一个 CLI 工具组成。它试图成为 AI 编程助手领域的「npm」——让开发者像管理软件包一样管理 AI 代理的能力扩展。截至 2026 年 4 月，其 npm 核心包周下载量已超过 68 万次，平台收录技能数超过 6 万个，支持 45 种以上主流 AI 编程工具。尽管增长迅猛且获得了社区广泛好评，但 Snyk 的安全审计揭示了 36.8% 的技能存在安全漏洞的严峻现实，平台已在 2 月份紧急上线自动化安全审计机制来应对这一挑战。

• 2. 产品背景 （共 618 字）

  Skills.sh 的诞生源于一个非常实际的痛点。2025 年下半年以来，AI 编程助手（Claude Code、Cursor、GitHub Copilot、Windsurf 等）快速普及，但这些工具各自独立，用户积累的经验和最佳实践无法跨工具迁移。一位掘金作者在 2026 年 1 月的文章中描述了当时的困境：「Skills 这个词很火爆，但是通常大家都被找 Agent Skills 这件事折磨到崩溃，repo 太多、关键词太散、看到好用的还得一个一个去安装。」   Vercel 作为全球最大的前端云平台之一，其 Labs 团队（由 Vercel 联合创始人兼 CEO Guillermo Rauch 推动）在 2026 年 1 月 20 日正式发布了 Skills 生态系统，包含两个核心组件：skills.sh 网站作为技能目录和排行榜，以及 skills CLI 工具作为安装管理器。项目以 MIT 协议开源，代码托管在 github.com/vercel-labs/skills，由 Vercel 首席软件工程师 Andrew Qu 主导开发。   InfoQ 在 2026 年 2 月 4 日的报道中指出了 Vercel 推出这个产品更深层的动机：当前许多 AI 智能体失败的原因并非推理能力不足，而是执行环节不可靠。Skills.sh 试图将智能体的「推理」与「执行」分离，为代理提供受控的、预定义的指令集，替代动态生成的 shell 逻辑。这意味着 Skills 不只是简单的配置共享工具，而是 Vercel 对 AI 代理可靠性问题的一个架构层面的回答。

• 3. 产品功能与使用体验 （共 1284 字）

  Skills.sh 生态系统的运作方式非常简洁。每个技能本质上是一个 SKILL.md 文件，用 YAML frontmatter 定义名称和描述，正文部分写明该领域的专业知识和操作规范。开发者使用一条命令就能安装技能：npx skills add vercel-labs/agent-skills。CLI 工具会自动检测本地安装了哪些 AI 编程助手，将技能安装到对应目录，通过符号链接实现一份技能多工具共享。   CLI 工具的功能覆盖完整生命周期，包括 add（安装）、remove（卸载）、list（查看已安装）、find（搜索）、check（检查更新）、update（批量更新）和 init（创建新技能模板）。它支持从 GitHub 仓库、GitLab、本地路径、直接 URL 等多种来源安装，一个解析函数统一处理 6 种以上输入格式，用户体验非常友好。从 DeepWiki 的技术分析来看，安装模式优先使用符号链接，在不支持的环境下自动回退为复制模式，兼顾了灵活性和可靠性。   skills.sh 网站本身扮演着类似 npm 注册表的角色，提供三种排名维度：All Time（历史总排行）、Trending（24 小时内趋势）和 Hot（热门）。每个技能详情页展示 SKILL.md 内容、周安装量、仓库地址、发布时间和安装分布等数据。排名机制基于匿名遥测数据，仅追踪安装情况，不收集个人信息。   平台支持的 AI 工具覆盖面极广，达到 45 种以上。除了 Claude Code、Cursor、GitHub Copilot、Windsurf 这几个主流选手外，还包括 Codex、Gemini CLI、Trae（字节跳动出品）、Goose、Roo、Cline、Amp、Kiro CLI 等，甚至包括 Kimi CLI 和通义千问 Code 等国内工具。这些代理被分为两类处理：Claude Code、Cursor 等需要将技能从公共目录符号链接到各自的专用目录；Codex、OpenCode 等遵循 XDG 规范的通用代理则直接从 .agents/skills/ 读取。   技能分类非常丰富，从掘金和博客园等中文社区的整理来看，热门类别包括前端开发（React、Tailwind、Shadcn/ui）、后端与云服务（Vercel、Supabase、Firebase）、全栈框架（Next.js、Expo）、AI 工具（浏览器自动化、图像生成、PDF 处理）、营销内容（SEO 审计、文案写作）和工作流优化（头脑风暴、TDD、调试策略）等。腾讯云开发者社区在近期文章中将 Skills.sh 列为 AI 技能安装的首选平台，称其通过 npx 命令快速为智能体添加能力，支持前端设计等热门技能。   与 Vercel 自家产品的整合是 Skills.sh 的一个明显优势。Vercel 官方维护着大量高质量技能，涵盖 React 最佳实践、Next.js 部署、AI SDK、Web 设计指南、电商能力（UCP）等。这些技能经过验证和文档化，质量有保障。在知乎的讨论中，有用户指出「当你开始编写 AGENTS.md，当你开始积累自己的 Skills，AI 编程工具的下半场不再是比拼谁的代码补全更快，而是比拼谁能更好地组织 Agent」。

• 4. 定价与商业模式 （共 434 字）

  Skills.sh 完全免费，没有任何付费功能、订阅计划或企业版。CLI 工具以 MIT 协议开源，skills.sh 网站作为免费的目录服务运营。Vercel 没有对平台本身展示任何变现意图。   这种策略并不难理解。从 Vercel 的角度来看，Skills 生态的核心价值在于强化其在 AI 开发者社区中的影响力。当越来越多的开发者通过 Skills.sh 为他们的 AI 代理安装 Vercel 相关技能（部署、监控、AI SDK 等），Vercel 的云服务自然会获得更多用户和项目流量。InfoQ 引用 AI 工程师 Aakash Harish 的观点：「Skills 解决了开发者如何共享和发现智能体能力的问题」，而发现层本身就是强大的分发入口。   竞品 ClawHub（OpenClaw 的技能市场）同样免费，但社区已经出现了中国加速版本（如 SkillHub）来解决网络问题，说明免费模式下的竞争壁垒主要在于网络效应和内容质量。Skills.sh 目前拥有先发优势和 Vercel 品牌背书，在英文开发社区中占据明显领先地位。

• 5. 用户评价 （共 733 字）

  社区对 Skills.sh 的正面评价集中在几个方面。   实用性是最常被提到的优点。掘金作者 Guoxk 在 2026 年 1 月的文章中直接表示 skills.sh + Skills CLI 的组合「解决了找 Agent Skills 崩溃的痛点」，作者自己在实际使用 OpenCode 时采用了这套工具。博客园用户 yupi 在 2 月份整理了「40 个 Agent Skills 精选资源」的合集文章，将 Skills.sh 列为核心推荐平台，提供了从入门教程到安装工具到资源合集的完整一条龙指南。   安装体验也获得了好评。知乎用户在 2026 年 1 月的手把手教程中，详细记录了在 Cursor 中配置 Skills 的过程，指出 Skills 的引入让 AI 编辑器「从代码补全工具进化为具备专业领域知识的协作伙伴」。腾讯云开发者社区近期文章则总结了「大模型 Skill-Cil 安装 Skill」的完整流程，对 Codex 用户特别提供了强制安装的参数方案，反映了社区在适配不同工具上的积极探索。   跨平台兼容性是另一个被认可的优势。一位开发者在掘金评论中表示：「支持 amp、claude-code、cursor、codex、gemini、github-copilot、goose、windsurf 等十几种工具，一套技能到处用，这个体验确实好。」   不过负面反馈也客观存在。中国大陆用户普遍反映 GitHub 网络问题导致安装经常失败，GitHub 用户 lanceCryp 因此开发了 skills-cn 项目作为加速方案，坦言「通过 skills.sh 安装的 Skills 质量普遍较高，但安装过程经常因为 GitHub 网络问题而失败」。此外，有用户在 CSDN 和知乎讨论中指出 Skills 的质量参差不齐，热门排行榜上的一些技能内容过于简单，而真正有价值的深度技能反而排名不高。

• 6. 行业评价 （共 695 字）

  InfoQ 在 2026 年 2 月的报道中为 Skills.sh 提供了最系统的行业分析。报道将 Skills.sh 定位为「填补当前智能体生态中执行可靠性和能力可发现性空白的工具」，并引用了多位开发者观点。软件开发者 Thomas Rehmer 认为「可发现的技能解决了大多数智能体设置中你能做什么的问题」。AI 工程师 Aakash Harish 将其比作「AI 智能体的 npm」，并提出 MCP（Model Context Protocol）和 Skills 互补而非竞争的判断——MCP 解决智能体如何与工具对话，Skills 解决开发者如何共享和发现能力，最终赢家可能是两者的结合。   在竞品格局方面，当前 Agent Skills 生态存在多个并行体系。Skills.sh 是最通用的跨平台方案，ClawHub 是 OpenClaw 的专用市场，SkillsMP 是另一个聚合平台，而 Cursor Rules、GitHub Copilot Extensions 则是各自工具内置的能力扩展机制。Cursor 官方文档专门有一个 Skills 页面，将 Agent Skills 定义为「封装可复用知识和脚本的开源标准」，并支持通过 SKILL.md 文件集成。Vercel 在 2026 年 2 月的文档更新中列出了 18 种官方支持的 Agent，将 Skills.sh 定位为跨所有这些工具的统一管理层。   值得关注的是，菜鸟教程（runoob.com）已经将 Skills 纳入了其 AI Agent 教程体系，用非常通俗的语言解释：「Skills 本质上就是教 AI 按固定流程做事的操作说明书，一旦写好，就能像函数一样反复调用。」这种被主流编程教育平台收录，说明 Skills 概念正在快速走向主流化。

• 7. 争议与风险 （共 1126 字）

  安全问题是 Skills.sh 面临的最大争议，也是整个 Agent Skills 生态面临的系统性挑战。   2026 年 2 月 5 日，安全公司 Snyk 发布了「ToxicSkills」研究报告，对 ClawHub 和 skills.sh 上的 3,984 个 Skills 进行了全面安全审计。结果令人警觉：36.82%（1,467 个）的 Skills 存在至少一个安全漏洞，13.4%（534 个）存在严重问题，76 个确认包含恶意载荷。更值得关注的是，91% 的恶意 Skills 同时使用 Prompt 注入和传统恶意代码，形成组合攻击来绕过 AI 安全机制和传统安全工具的双重防线。   Snyk 发现的攻击手法包括：通过 base64 混淆隐藏数据渗出命令（解码后执行 curl 窃取 AWS 凭据）、通过密码保护的 ZIP 分发恶意软件规避杀毒检测、修改 systemctl 服务文件添加持久化后门，以及对代理安全机制进行 DAN 风格越狱攻击。报告指出发布 Skill 的门槛极低——仅需一个 SKILL.md 文件和一周以上的 GitHub 账号——这让恶意行为者可以轻易混入生态。   Snyk 研究发布时，仍有 8 个确认恶意的 Skills 在线，主要集中在 ClawHub 平台。虽然 Snyk 的报告同时覆盖了 skills.sh 和 ClawHub，但鉴于 Skills.sh 的规模更大、增长更快，这些发现对 Vercel 的平台构成了直接压力。   Vercel 的反应相当迅速。仅 12 天后的 2026 年 2 月 17 日，Vercel 宣布与 Gen、Socket、Snyk 三家安全公司合作，上线了自动化安全审计功能。审计结果在每个 Skill 详情页公开显示，被标记为恶意的 Skills 自动从排行榜和搜索中隐藏，CLI 工具从 v1.4.0 开始在安装前展示审计结果和风险等级。Vercel 表示该系统已覆盖 60,000+ 个 Skills 的审计，相比 Snyk 报告时的 3,984 个样本，规模有了数量级的提升。   但安全风险并未完全消除。Snyk 报告指出 Agent Skills 默认拥有完全代理权限——Shell 访问、文件读写、凭据访问、消息发送、持久化内存——这意味着一个恶意 Skill 一旦安装，理论上可以完全控制用户的开发环境。社区中也出现了第三方安全工具（如 skill-security-auditor、mcp-scan）来弥补平台安全机制的不足，这本身就是安全生态尚不成熟的一个信号。   另一个潜在风险是平台依赖性。Skills.sh 由 Vercel 单一公司主导，虽然项目开源且采用 MIT 协议，但 skills.sh 网站作为核心注册表掌握在 Vercel 手中。如果 Vercel 改变策略、限制访问或调整排名算法，整个生态都将受到影响。这在 npm（被 GitHub 收购后经历多次政策争议）的历史上有过前车之鉴。

• 8. 适用人群与使用建议 （共 563 字）

  Skills.sh 最适合已经在使用或计划使用 AI 编程助手的开发者。如果你日常使用 Claude Code、Cursor、GitHub Copilot、Windsurf 或类似工具，并且希望为这些工具注入特定领域的专业知识和操作规范，Skills.sh 目前是最方便的统一入口。   它对以下几类人特别有价值：频繁在多个 AI 工具之间切换的开发者（一套技能多工具共享）、希望为团队统一 AI 工具最佳实践的技术负责人（通过项目级 Skills 标准化）、以及在特定技术栈（如 Next.js、React、Supabase）上有深度需求的前端和全栈工程师（Vercel 官方 Skills 质量较高）。   不太适合的人群包括：不使用任何 AI 编程助手的传统开发者、对安全要求极高的企业环境（需要内部审计机制，不能完全依赖平台审计）、以及中国大陆网络环境下对安装成功率有高要求的用户（可能需要配合 skills-cn 等加速方案）。   替代方案方面，如果只需要为单个工具定制，Cursor Rules（.cursorrules 文件）和 Claude Code 的 CLAUDE.md 配置是更轻量的选择；如果需要企业级的工具集成协议，Anthropic 的 MCP（Model Context Protocol）提供了更结构化的方案；如果主要使用 OpenClaw 生态，ClawHub 是原生的技能市场。

• 9. 总结 （共 331 字）

  Skills.sh 是 AI 编程助手生态快速演化过程中的一个重要基础设施级产品。它用最简洁的方式（一个 SKILL.md 文件 + 一条 npx 命令）解决了 AI 代理能力扩展的标准化和可发现性问题，在三个月内就达到了近 70 万周下载的规模，证明了市场需求的真实存在。Vercel 的品牌背书和与自家云服务的深度整合为其提供了强大的竞争优势，而 MIT 开源协议和广泛的工具兼容性则降低了采纳门槛。不过，Agent Skills 生态仍然处于早期阶段，安全风险的严峻程度（三分之一以上的技能存在漏洞）提醒用户在享受便利的同时必须保持警惕，安装前务必检查审计结果并审查 SKILL.md 内容。随着自动化安全审计机制的完善和社区成熟度的提升，Skills.sh 有望真正成为 AI 代理时代的核心分发层。

暂无深度报告

• 

  RudesindoAlmeida

  —

  skills.sh 确实是个好东西，现在每天都在用 find-skills 找技能，装上就能用，省了不少自己写 prompt 的时间

---

• 

  Dylan.MillerK

  —

  browser-use 这个技能太香了，AI 直接帮我操作浏览器，省掉多少重复劳动

---

• 

  Andrew.Anderson_2022

  —

  用了三个月，确实好用

---

• 

  Brenda.Foster

  —

  前端必装 vercel-react-best-practices，57条规则直接套用，改完性能提升明显

---

• 

  Laura.ThomasK

  —

  说实话安装量高的不一定好，踩过几个坑，还是官方出品的靠谱

---

• 

  PaulLee_2024

  —

  YYDS！终于不用每次都跟 AI 重复说代码规范了

---

• 

  Nathan_Moore_X

  —

  作为一个用了两个月的老用户，个人体验：基础功能确实扎实，但质量参差不齐的问题确实存在。建议只装官方那几个

---

• 

  trueIinaMaki_dev

  —

  agent-browser 用来自动登录后台查数据，运营和产品应该会喜欢

---

• 

  悠然_11

  —

  说实话，有点被吹过头了。用了两周，80%的 skill 都是凑数的，真正有用的就那么几个

---

• 

  trueLavanyaChiplunkar_dev

  —

  Claude Code 装了 frontend-design，做出来的设计确实没那么 AI 味了

---

• 

  CarlColeman_2022

  —

  一小时新增550个技能，这个增长速度有点吓人，质量能不能跟上是个问题

---

• 

  JesseBennett_99

  —

  SEO 审计这个 skill 很实用，非技术人员也能用

---

• 

  AaronHoward_99

  —

  建议平时只装3-5个高频的，装太多影响上下文加载速度

---

• 

  Maria_CampbellX

  —

  vercel-react-best-practices 真的管用，帮我项目优化了不少

---

• 

  SelimNeff

  —

  web-design-guidelines 严格得有点变态，但确实解决了 UI 返工的问题

---

• 

  Angela_Davis520

  —

  发现了个好东西叫 skillhub，专为中国用户优化的社区

---

• 

  Pamela.Carter_X59

  —

  对比过几个平台，skills.sh 还是最全的，就是筛选机制不太行

---

• 

  Gregory_Hernandez_2024

  —

  免费无限制这点很良心

---

• 

  Jennifer_ColemanSr

  —

  个人开发者仓库的 skill 要谨慎，装之前最好看看源码

---

• 

  MLewisQ

  —

  用自然语言让 AI 帮你选 skill，这个思路很聪明

---

• 

  Nicole_Green_660

  —

  skills.sh 有点像 AI 技能的 npm，安装生态起来了确实方便

---

• 

  Gregory_RobertsIII

  —

  Cursor 2.5.0 目录变更问题还在，要手动创建符号链接才能用

---

• 

  EricaCarlson

  —

  安全风险确实要考虑，skill 可以包含可执行脚本

---

• 

  Jeremy_JamesZ7

  —

  better-auth-best-practices 做登录系统的必装，减少很多坑

---

• 

  梁涛

  —

  就是来解决重复输入痛点的，装完就回不去了

---

• 

  MLopez_2022

  —

  跨代理兼容性这点很实用，换工具不用重新配置

---

• 

  Patrick.WhiteX3

  —

  说实话比想象中好用，但别期望太高

---

• 

  康明

  —

  目前最方便的 skill 管理工具，没有之一

---

• 

  FrankGreen369

  —

  Vercel 出品，必属精品

---

• 

  Walter_Ortiz_77

  —

  用了两周，暂时没遇到什么问题

暂无评论