狂揽2.4万星标:一行命令,AI会自己找技能了 - 壹号娱乐下载

开发者们过去交流的焦点是提示词(prompt)模板,但如今这一趋势已发生改变,大家更关注的是需要安装哪些技能(skill)。这标志着AI编程工具领域正在发生一场重大变革:AI开始具备“安装包”的能力。

Vercel创始人兼CEO Guillermo Rauch于1月17日在一个X(前身为Twitter)的帖子中宣布,Vercel正在推出skills,将其定位为AI技能的“npm”。“npm”是前端工程师常用的包管理器,允许他们通过一条命令将他人编写好的代码集成到自己的项目中。Rauch此举的意图是,将这种“通过一行命令获取他人成果”的便捷体验引入AI领域。

Peter Steinberger,被誉为“龙虾之父”,对此反应迅速,表示“酷!得跟ClawHub同步一下。”ClawHub是另一个智能体生态系统的技能市场,与Vercel并非同一公司,但Peter的提议暗示了跨平台协作的可能性。

三天后,Vercel在其更新日志中正式发布了skills,这是一个用于安装和管理智能体能力的命令行工具。该工具的官方仓库vercel-labs/skills,在发布仅五个月后,就在GitHub上获得了2.4万颗星标。

该工具之所以迅速走红,得益于其极其简便的操作方式:只需输入一条命令 npx skills add 即可。这实质上就是AI智能体(AI agent)的包管理器,类似于前端工程师使用的npm,但它安装的不是代码库,而是“能力”。

更强大的是,skills不限制工具类型,官方已支持超过68种智能体,包括Claude Code、Cursor、Codex、Gemini CLI等。这意味着一份能力包可以在不同的工具中使用。Vercel还同步上线了skills.sh,一个展示技能目录和安装量排行榜的平台,让用户可以清晰地看到哪些技能最受欢迎。其中,名为find-skills的包已获得230万次安装量,位居榜首。AI编程能力首次拥有了自己的“热门下载”排行榜。

一行命令 AI学会了一门新手艺

该工具的核心功能在于,通过简单的 npx skills add vercel-labs/agent-skills 命令,即可为Claude Code等AI工具添加一套React、Next.js的工程规范和设计准则。这些被官方称为“技能包(skill)”的集合,本质上是一个包含SKILL.md文件的文件夹,其中定义了该技能的用途和适用场景。技能包还可以包含参考文档、模板以及可执行脚本。

这解决了AI在理解项目特定“土规矩”,如代码风格、命名习惯和常见问题方面的不足。过去,开发者需要反复向AI解释这些细节,而现在,通过打包成一个skill,一次安装即可长期生效。用户还可以像管理npm包一样管理skills:使用list查看已安装的技能,update进行更新,remove进行删除。底层共享规范的引入,使得在Claude Code中安装的技能,也能在Cursor中直接运行。

对于不想安装的用户,skills还提供了更轻量级的“直接使用”模式。通过 npx skills use 命令,可以临时调用技能,在与Claude等AI交互时使用,用完即弃,不占用本地存储空间。这标志着AI能力从依赖开发者口头描述,转变为可以直接获取和使用的模块化组件。

AI工具层的“npm化”

尽管skills由Vercel推出,但其支持范围广泛,包括Claude Code、Cursor、Codex、GitHub Copilot、Windsurf等多种AI工具,通过skills CLI整合为一个统一的入口。这体现了AI工具层正在经历“npm化”的过程,即将零散的开发经验封装成可复用、可分发、可版本管理的模块。

AI能力的演进正从“提示词工程”(Prompt Engineering)转向“能力工程”(Capability Engineering),前者关注如何一次性描述需求,后者则致力于构建可长期复用的能力。Vercel在此领域的目标,是复制其在前端生态中通过Next.js建立的统治地位,将AI智能体层也纳入其生态体系。

Find Skills AI第一次有了“能力搜索引擎”

Find Skills是该系统中最具前瞻性的功能,它本身就是一个“找技能的技能”。当用户提出“如何做X”或“有没有能……的技能”的需求时,find-skills能够自动搜索、筛选并安装最匹配的智能体技能。

Find Skills的官方定义明确指出,当用户寻求完成某项任务或扩展AI能力时,它负责发现并安装相应的智能体技能。这个过程包括搜索、筛选和安装最适合的技能。此外,find-skills还具备一定的质量检验功能,它会优先选择安装量高、来源可靠(如Vercel、Anthropic、微软等官方源)的技能,并对低安装量或来源不明的技能发出警告。

这使得AI首次拥有了自己的“能力搜索引擎”,用户无需了解具体技能名称,只需表达需求,AI即可自主完成查找和安装过程。更重要的是,这一功能不仅对程序员有用,也为设计师、产品经理、内容创作者等非技术用户提供了便捷的AI能力调用入口,使他们能够轻松使用现成的技能包来完成工作。

热闹背后 是一笔没人兜底的账

尽管skills带来了诸多便利,但其潜在的安全风险不容忽视。技能包中的scripts目录包含可执行脚本,可能在用户计算机上执行命令。用户在安装第三方技能包时,往往难以完全了解其具体操作,这可能带来安全隐患。

安全公司Snyk的研究对ClawHub和skills.sh上的3984个技能进行了审计,发现超过三成存在安全缺陷,其中13.4%属于严重级别,涉及恶意软件分发、提示词注入和密钥泄露。另一家机构Koi Security的审计也发现了341个恶意技能。

主要的攻击手段包括:通过脚本让AI从未知IP下载并执行文件,或窃取SSH、AWS配置;以及在SKILL.md的文本中植入隐藏指令,诱导AI执行恶意操作。更危险的是,一些技能可能专门窃取AI存储的隐私对话记忆文件。

与npm不同,skills将提示词、代码和权限紧密结合,一个SKILL.md文件就能修改智能体的行为,并直接访问用户的本地文件系统、网络和shell。这使得skills的潜在风险比npm更大,可能直接威胁到用户的本地凭证和整个代码库。

Vercel也提醒用户,应将技能视为代码,安装前仔细阅读,并对scripts目录保持警惕。一个基本的安全原则是,下载量大不代表安全,关键在于来源和权限。例如,一个天气查询技能索要SSH密钥就显得异常。

AI能力的“npm时刻”已经到来,它带来了便利,但也带来了npm生态系统曾遇到的安全问题,并且可能在生态系统成熟之前就已显现。虽然通过一行命令安装能力非常便捷,但这条道路才刚刚开始。它鼓励开发者复用他人的经验,但也要求用户在安装时保持判断力。选择技能包、核实来源、检查权限,这些开发者早已熟悉的技能,在AI时代同样重要。

二十年 一行命令

Vercel创始人Guillermo Rauch,来自阿根廷布宜诺斯艾利斯,他的职业生涯深受Web和开源的影响。少年时他便热衷于推广Linux,并早期投身JavaScript开发。18岁时,他加入开源项目MooTools核心团队,并获得了第一份前端工程师的全职工作,随后移居旧金山。

Rauch的成名作之一是Socket.io,一个广泛应用的实时通信库,被Notion和Coinbase等公司使用。此后,他专注于构建工具和云基础设施,旨在提升Web性能和开发者体验,Next.js和Vercel由此诞生。如今,Vercel平台支撑着《华盛顿邮报》、保时捷、Under Armour、任天堂等众多知名公司的线上业务。

Vercel的核心竞争力在于其一体化的开发流程:从代码编写、预览到上线,全部通过一行命令完成。一旦开发者体验到这种便捷,就很难离开Vercel的生态系统。

可以说,Rauch二十年来始终致力于一件事:将复杂的工程流程简化为开发者可以放心地执行的“一行命令”。从最初的 now 命令创建服务器,到Next.js框架,再到如今的 npx skills add,他将同样的理念和技术应用到了AI智能体领域。