Vercel 把「npm」搬进 AI:skills 五月破 2.4 万星,安全雷区同步浮现
Vercel 推出 AI Agent 技能包管理器 skills,五个月 GitHub 斩获 2.4 万星,find-s…
Vercel 旗下的 AI Agent 技能包管理器 skills 上线仅五个月,GitHub 仓库 vercel-labs/skills 的星标数已突破 2.4 万,配套的技能目录 skills.sh 上,热门技能 find-skills 的安装量达到 230 万次。围绕这套「AI 版的 npm」,开发者社区迅速形成规模,但同时,第一批系统性安全审计也揭示了潜在的供应链风险。
skills 是什么:Agent 的「npm 时刻」
skills 的核心命令只有一行:
npx skills add <package>,即可向本地 AI 智能体安装一项「能力包」。
能力包本质是一个以 SKILL.md 为入口的文件夹:用 YAML 头声明技能名称与触发场景,文件夹内可附带参考文档、模板与可执行脚本。它解决的是模型「懂通用框架、却不懂项目规矩」的痛点——例如一套团队的 React、Next.js 工程规范、设计风格,过去只能在每次新对话里复述,如今打包后一次安装、长期生效。
skille 不绑定单一工具。官方列出的支持名单已超过 68 个,覆盖 Claude Code、Cursor、Codex、Gemini CLI、GitHub Copilot、Windsurf 等主流 AI 编程助手。一份技能包在不同智能体之间共享同一套规范,本地还可使用 list、update、remove 等命令管理,甚至能通过 npx skills use 即用即走,不写入本地目录。
火爆数据:一座新流量入口
skills 上线后迅速成为 Vercel 增长最快的开源项目之一,主要数据信号包括:
- GitHub 星标:5 个月突破 2.4 万;
- 生态规模:官方支持 Agent 超过 68 个;
- 头部技能:find-skills 安装量约 230 万次(2.3M),frontend-design、vercel-react-best-practices 等紧随其后;
- 配套目录:skills.sh 同时提供排行榜,让「热门下载」首次出现在 AI 编程能力领域。
这套设计被业界类比为 AI 工具层的「npm 化」:提示词正在变成可分发、可版本管理、可复用的能力模块,「提示词工程」也开始让位于「能力工程(capability engineering)」。
安全风险:ToxicSkills 首次系统审计
skills 的安装极其简单,但技能包里塞进的不只是说明文档,而是会被 Agent 直接执行的脚本与指令。Snyk 发布的 ToxicSkills 研究,是首次针对 ClawHub 与 skills.sh 的大规模系统审计:
- 样本规模:3984 个技能;
- 任一安全缺陷:1467 个(36.82%);
- 严重级缺陷:534 个(13.4%),包括恶意软件分发、提示词注入、密钥泄露;
- 已确认的恶意载荷:76 个;其中 8 个至研究发布时仍存在于 ClawHub。
另一家机构 Koi Security 审计 2857 个技能,也发现 341 个恶意。攻击手法主要集中在两条路径:一是通过脚本诱导 Agent 向陌生 IP 下载执行,或读取本地 SSH、AWS 配置;二是在 SKILL.md 正文里嵌入隐藏指令,让 Agent 把攻击者意图当作正常任务说明执行;最严重的情形还会窃取 Agent 存储隐私对话的记忆文件。
Snyk 指出,技能的风险量级与 npm 不同:npm 装的是纯代码,数据与指令边界清晰;skill 把提示词、代码与权限三样捏合在一个 Markdown 文件中,一个 SKILL.md 即可改写智能体行为,并直通文件系统、网络与 shell。npm 的供应链攻击顶多影响构建产物,而 skill 的攻击面直达本地凭证与整个代码库。
find-skills 自身内置了一道质检逻辑:优先推荐安装量 1000+ 的技能,对 100 以下的保持警惕,优先选择 Vercel、Anthropic、微软等官方源,仓库星标低于 100 则标注可疑。但即便如此,「热门」并不等于「安全」。Vercel 官方也建议用户把技能当作代码对待,安装前阅读 SKILL.md,对 scripts/ 目录格外审慎。
Vercel 的二十年押注
skills 的根基仍是 Vercel 创始人 Guillermo Rauch 一以贯之的产品哲学——把原本复杂的工程,压缩成开发者敢闭眼运行的那一行命令。Rauch 的代表作 Socket.io 曾支撑 Notion 的实时同步与 Coinbase 早期交易产品;之后他用 Next.js 与 Vercel 平台卡住了前端生态的部署入口,客户包括华盛顿邮报、保时捷、任天堂、Under Armour 等。如今他把同一套打法搬到 AI Agent 层:让「能力」像 npm 包一样可被发现、可被安装、可被版本管理。
从一行 now 起一个服务器,到 Next.js,再到今天的 npx skills add,Rauch 二十年只重复一件事:把工程复杂度折叠进一行命令。这一次,被折叠进命令里的,是整个 AI Agent 的能力供应链。AI 能力的「npm 时刻」确实来了,连同 npm 这些年踩过的坑,也一并被打包寄到了开发者面前。
