资讯详情
过去,开发者们交流的焦点是提示词(prompt)模板,但现在,大家更关心的是应该安装哪些技能(skill)。这一转变标志着AI编程工具正迈向「装包」时代。
1月17日,Vercel创始人兼CEO Guillermo Rauch在X上宣布,Vercel正在推出skills,将其定位为AI技能的「npm」。正如前端工程师常用的npm包管理器允许用户通过一行命令集成他人编写的功能,Rauch预示着这种便捷的集成体验即将应用于AI领域。
Peter Steinberger,被称为「龙虾之父」,对此表示赞赏,并提议与ClawHub进行同步。ClawHub是另一套智能体生态的技能市场,尽管与Vercel并非同一公司,但Peter的反应凸显了行业对整合的需求。
三天后,Vercel在其更新日志中正式发布了skills,这是一个用于安装和管理智能体能力包的命令行工具。该工具的官方仓库vercel-labs/skills在短短五个月内,已在GitHub上积累了2.4万个星标。
其受欢迎程度归功于其极简的操作方式:只需一行命令 npx skills add 即可完成安装。这本质上是为AI智能体(AI agent)设计的包管理器,类似于npm,但安装的是「能力」而非代码库。
更强大的是,skills支持广泛的工具,包括Claude Code、Cursor、Codex、Gemini CLI等超过68种官方支持的智能体,这意味着一份能力包可以在不同的工具上运行。Vercel还推出了skills.sh,一个提供技能目录和安装量排行的网站,让用户可以清晰地了解哪些技能最受欢迎。其中,名为find-skills的包安装量已达230万次,位居榜首,标志着AI编程能力首次拥有了「热门下载」排行榜。
通过执行 npx skills add vercel-labs/agent-skills,用户可以在几秒钟内为Claude Code添加一套React、Next.js的工程规范和设计准则,使AI在后续的代码编写中遵循这些规则。官方将这些打包好的能力称为「技能包(skill)」,其核心是一个包含YAML头的SKILL.md文件,用于定义技能内容和适用场景。技能包还可以包含参考文档、模板以及可执行脚本。
这一机制解决了AI模型虽懂通用编程语言和框架,却不了解项目特定「土规矩」的问题,如代码风格、命名习惯和常见陷阱。过去需要反复向AI解释的内容,现在可以通过安装一个skill来长期生效。用户还可以像管理npm包一样管理技能,通过list查看已安装列表,update进行更新,remove进行卸载。底层共享规范允许在一个工具上安装的技能在另一个工具上也能运行。
对于不愿安装的用户,还可以使用npx skills use命令临时加载技能,用完即弃,避免本地目录被修改。这使得AI的能力不再局限于用户如何描述,而是转化为可以直接获取的模块化资源。
尽管skills看似是Claude的新功能,但它实际上是Vercel推出的,而非Anthropic的原生能力。skills CLI支持Claude Code、Cursor、Codex、GitHub Copilot、Windsurf等多种AI工具,将它们统一接入一个入口,标志着AI工具层正经历「npm化」。Vercel将零散的开发经验封装成可复用、可分发、可版本管理的模块,推动AI能力从「提示词工程」向「能力工程(capability engineering)」转变,后者旨在解决「以后如何做」的问题。
Vercel曾通过Next.js在前端生态部署领域占据重要地位,如今,他们试图在AI智能体层面复制同样的成功。
Find Skills是其中最具前瞻性的功能,它是一个「找技能的技能」。当用户询问「如何做X」或「有没有能……的技能」时,find-skills能够自动搜索、筛选并安装最匹配的技能。它还内置了质量检验机制,优先推荐安装量高、来自官方(如Vercel、Anthropic、微软)的技能,并对来源不明或星标数低的技能发出警示。
这使得AI首次拥有了「能力搜索引擎」。用户只需描述需求,AI即可自主完成技能的查找和安装过程。find-skills尤其对非程序员用户(如设计师、产品经理、内容创作者)有益,他们可以通过这个入口,无需深入了解技术细节,就能调用AI的各种能力。
尽管skills带来了便利,但其潜在的安全风险不容忽视。技能包中的scripts目录包含可执行逻辑,用户在安装第三方包时,往往难以完全了解其具体操作。安全公司Snyk的研究表明,在ClawHub和skills.sh上的3984个技能中,超过三成存在安全缺陷,其中13.4%为严重级别,包括恶意软件分发、提示词注入和密钥泄露。另一机构Koi Security也发现,在2857个技能中,有341个被检测出恶意。
攻击手段主要有两种:一是通过脚本执行恶意代码,如从陌生IP下载文件或窃取SSH、AWS配置;二是利用SKILL.md文件中的隐藏指令,诱导AI执行非预期操作,甚至窃取智能体的记忆文件。
与npm不同,skills将提示词、代码和权限整合在一起,一个SKILL.md文件就能改变智能体的行为,并直接访问本地文件系统、网络和shell,其安全风险远超npm。Vercel也提醒用户,应像对待代码一样对待技能,安装前仔细阅读,并警惕scripts目录。
用户应关注技能的来源和所需权限,例如,一个天气查询技能若要求读取SSH密钥,则存在明显异常。AI能力的「npm时刻」确实到来了,但同时也带来了npm多年来积累的安全隐患。虽然一行命令安装能力令人兴奋,但这个领域尚处于起步阶段,用户在享受便利的同时,也需要具备辨别能力,像开发者一样,关注来源、权限和潜在风险。
这一切的起点可以追溯到Vercel创始人Guillermo Rauch。这位来自阿根廷的开发者,将大部分职业生涯奉献给了Web和开源。他少年时便热衷于推广Linux和JavaScript,并成为MooTools核心团队成员,18岁即获得全职前端工程师职位。
Rauch的成名作之一是Socket.io,一个广泛应用的实时通信库。随后,他专注于开发工具和云基础设施,旨在提升Web性能和开发者体验,由此诞生了Next.js和Vercel。如今,Vercel平台支撑着多家知名公司的线上业务。
Vercel的核心优势在于其将复杂的工程流程简化为开发者能够直接执行的一行命令。从最初的now命令创建服务器,到Next.js,再到如今的npx skills add,Rauch始终致力于将复杂操作压缩至开发者可信赖的一行命令,而现在,这项技术被应用到了AI智能体领域。
开云深耕开云入口领域,用心服务每一位用户。
您的昵称
2024年5月18日
开云(中国)官网,作为全球领先的体育资讯服务平台,致力于为广大体育爱好者提供最前沿、最全面的赛事动态。我们汇聚海量体育资源,确保用户能够第一时间掌握足球、篮球等热门赛事的最新消息。
回复 »