狂揽2.4万星标:一行命令,AI会自己找技能了 - 糖果派对在线试玩

过去,开发者们交流的焦点是提示词(prompt)模板。如今,情况发生了变化,大家更关心的是应该安装哪些技能(skill)。这标志着一个重大的转变:AI编程工具正在进入「装包」时代。

1月17日,Vercel创始人兼CEO Guillermo Rauch在X上宣布,Vercel推出了skills,将其定位为AI技能的「npm」。众所周知,「npm」是前端工程师常用的包管理器,能够通过一行命令将他人编写的代码集成到自己的项目中。Rauch的言论暗示,这种「一行命令完成他人成果」的便捷体验,如今将应用于AI领域。

Peter Steinberger,被誉为「龙虾之父」,立即回应称「酷!得跟ClawHub同步一下。」ClawHub是另一个智能体生态的技能市场,与Vercel并非同一家公司,但Peter的反应表明了对这种新模式的认可和对接的需求。

三天后,Vercel在其更新日志中正式发布了skills:一个用于智能体安装和管理能力包的命令行工具。官方仓库vercel-labs/skills,在发布仅五个月后,就在GitHub上获得了2.4万的星标。

该工具之所以迅速走红,原因在于其极简的操作方式,仅需一行命令:npx skills add 。这实际上是为AI智能体(AI agent)设计的包管理器。与前端工程师使用的npm类似,它允许用户通过一行命令安装他人的成果,只不过这次安装的是「能力」而非代码库。

更值得注意的是,skills支持广泛的工具,包括Claude Code、Cursor、Codex、Gemini CLI等,官方已支持超过68种智能体。这意味着一份能力包可以跨工具使用。Vercel还推出了skills.sh,一个技能目录和安装量排行榜,让用户可以清晰地看到哪些技能最受欢迎。其中,名为find-skills的包安装量已达到230万次。AI编程能力,首次拥有了「热门下载」排行榜。

一行命令,AI学会了一门新手艺

具体而言,通过执行npx skills add vercel-labs/agent-skills,用户可以在几秒钟内为Claude Code安装一套React、Next.js的工程规范和设计准则,使其在后续的代码编写中自动遵循这些规则。官方将这种打包的能力称为「技能包(skill)」,其核心是一个带有YAML头的SKILL.md文件,用于描述技能内容和使用场景。技能包还可以包含参考文档、模板以及可执行脚本。

这项技术解决了AI在理解项目特定「土规矩」方面的不足。模型虽然掌握通用编程语言和框架,但往往缺乏对特定项目代码风格、命名习惯和已知问题的理解。过去,这些都需要用户在每次对话时反复强调,而现在,通过打包成skill,一次安装即可长期生效。用户还可以像管理npm包一样管理技能,如使用list查看已安装技能,update进行更新,remove进行删除。底层共享规范的特性使得在Claude Code中安装的技能,也能在Cursor中运行。

对于不希望安装的用户,skills还提供了更轻量级的npx skills use命令,允许临时调用技能,用完即弃,不占用本地存储空间。这标志着AI能力从过去依赖用户口头描述,转变为可以直接获取和使用的模块化产品。

AI工具层的「npm化」

尽管skills的功能可能被误认为是Claude的内置能力,但它实际上是Vercel推出的独立工具,支持包括Claude Code、Cursor、Codex、GitHub Copilot、Windsurf在内的多种AI工具。skills CLI为这些工具提供了一个统一的接入点,标志着AI工具层正经历「npm化」的过程。Vercel通过将零散的开发经验封装成可复用、可分发、可版本管理的模块,推动AI能力从「提示词工程」向「能力工程(capability engineering)」转变,后者关注的是如何长期、规范地执行任务。

Vercel在前端生态中凭借Next.js的成功,已经证明了其构建平台级产品的能力。如今,他们希望在AI智能体层面复制同样的模式。

Find Skills,AI第一次有了「能力搜索引擎」

Find Skills是skills系统中最具前瞻性的部分,它本身就是一个「找技能的技能」。其官方定义是,当用户询问「如何做X」或「有没有能……的技能」,或者希望扩展AI能力时,find-skills负责发现并安装最匹配的技能。用户只需描述需求,find-skills就能自动完成搜索、筛选和安装流程。

更重要的是,find-skills内置了质量检验机制,在选择技能时会优先考虑安装量大、官方来源的技能,并对来源不明或安装量低的技能发出警示。find-skills技能的SKILL.md源码明确规定了推荐前的三项质检规则:安装量优先1000+,警惕100以下;来源优先Vercel、Anthropic、微软等官方源;仓库星标低于100需存疑。

这为AI带来了第一个「能力搜索引擎」。用户无需了解具体技能名称,只需说明任务,AI即可自主寻找并部署所需能力。这一功能尤其惠及了非程序员用户,如设计师、产品经理和内容创作者,他们可以更便捷地利用AI完成工作,而无需深入了解技术细节。

热闹背后,是一笔没人兜底的账

尽管skills带来了诸多便利,但其潜在的安全风险不容忽视。技能包中的scripts目录包含了可执行逻辑,意味着安装的第三方包可能在用户计算机上执行命令。用户往往难以完全了解这些脚本的具体操作。

安全公司Snyk的研究显示,在对ClawHub和skills.sh上的3984个技能进行审计后,发现超过三成存在安全缺陷,其中13.4%(534个)属于严重级别,包括恶意软件分发、提示词注入(prompt injection)和密钥泄露。另一机构Koi Security也查出了341个恶意技能。

主要的攻击手段包括:通过脚本让AI下载并执行未知来源的文件,或窃取SSH、AWS配置等敏感信息;或者在SKILL.md的文本中嵌入隐藏指令,诱导AI执行恶意操作,甚至窃取智能体的记忆文件。

与npm包主要影响构建产物不同,skills的潜在风险更高,因为它将提示词、代码和权限结合在一起,可能直接访问用户本地凭证和代码库。Vercel也提醒用户,应像对待代码一样对待技能包,安装前仔细阅读,并对scripts目录保持警惕。

一个简单的判断原则是,高下载量不等于安全,更应关注技能的来源和所需权限。例如,一个天气查询技能如果要求读取服务器的SSH密钥,就存在明显的安全隐患。

AI能力的「npm时刻」已经到来,但同时也带来了npm生态多年来积累的安全问题,且出现的时间点早于生态的成熟。虽然一行命令安装能力非常诱人,但这条道路才刚刚起步。它在提供便利的同时,也要求用户具备辨别能力。在选择和安装技能包时,开发者仍需运用老练的经验,关注来源、权限和潜在风险。

二十年,一行命令

这一切的起点可以追溯到Vercel创始人Guillermo Rauch。这位来自阿根廷的开发者,将他的事业很大程度上归功于Web和开源。他少年时期便热衷于推广Linux和JavaScript,并在18岁时获得了首份前端工程师全职工作。

Rauch的知名作品之一是Socket.io,一个广泛应用的实时通信库,曾为Notion和Coinbase等公司提供技术支持。此后,他专注于开发工具和云基础设施,致力于提升Web性能和开发者体验,由此诞生了Next.js和Vercel。

Vercel平台目前支撑着多家知名公司的线上业务。其核心竞争力在于提供一站式解决方案,将代码编写、预览和上线压缩到一行命令,极大地增强了用户粘性。

Rauch二十年来始终专注于将复杂工程简化为开发者可信赖的一行命令。从最初的now命令创建服务器,到Next.js框架,再到如今的npx skills add,他将同样的理念应用到了AI智能体领域。

糖果派对专注热门玩法介绍,点燃游戏激情,为用户提供专业可靠的体验。

围绕活跃社区互动,结识游戏伙伴,糖果派对持续打磨更优质的服务。

糖果派对深耕糖果派对在线试玩领域,用心服务每一位用户。

在糖果派对娱乐平台方面,糖果派对提供贴心周到的支持。