2026AgentSkills技术与安全白皮书.pdf

1、2026 Agent Skills 技术与安全白皮书技术与安全白皮书主编单位：中科算网科技有限公司算泥 AI 开发者社区（）2026 Agent Skills 技术与安全白皮书技术与安全白皮书目目 录录前言.1白皮书背景与写作目的.1第 1 章Agent Skills 的起源与发展.21.1 AI 能力范式的演进.21.2 MCP 协议提出.31.3Skills 概念的诞生：从痛点到方案.31.4 Anthropic 官方发布时间线.41.5 生态的爆发：从编码工具到全场景渗透.5第 2 章什么是 Agent Skills.62.1 官方定义与核心理念.62.2 基础文件结构详解.72.2.1

2、 SKILL.md：双层结构解析.82.2.2 scripts/：行动力目录.92.2.3 references/：领域知识库.102.2.4 assets/：视觉与素材资源.102.3 渐进式披露：核心设计原理.102.4 Agent 如何发现、选择、使用与组合 Skills.122.5 五大标准设计模式.132.6 Skill 工程实践建议.19第 3 章为什么需要 Agent Skills.203.1 范式价值：从“单一智能”到“模块化智能”.203.2 知识沉淀：将经验固化为可执行的“能力 DNA”.213.3 跨平台能力迁移：“一次编写，到处运行”.213.4 人机关系逆转：从“人适

3、应 AI”到“AI 适应人”.223.5 典型 Skill 类别与应用场景.223.6 Skills 市场涌现.233.7 对人力市场与劳动结构的影响.24第 4 章热门 Skill 精选介绍.254.1 元技能（Meta Skills）.254.2 专家经验包.252026 Agent Skills 技术与安全白皮书技术与安全白皮书4.3 前端设计与开发.264.4 多媒体与视频创作.274.5 浏览器与信息检索.274.6 科技趋势与深度研究.274.7 云平台与数据库.284.8 AIGC 创意生成.284.9 代码质量与交付.284.10 云端办公自动化.294.11 文档处理.29第

4、 5 章安全治理.295.1 四阶段攻击面分析.295.1.1 Creation（创建阶段）.295.1.2 Distribution（分发阶段）.305.1.3 Deployment（部署阶段）.305.1.4 Execution（执行阶段）.315.2 三大结构性安全缺陷.315.3 典型安全事件：OpenClaw 与 ClawHub 案例.325.4 OWASPAgentic Skills Top 10.335.5 Skills 供应链安全工具链.345.6 运行时与 Zero Trust 模式安全原则.345.7 未来安全架构方向.35第 6 章未来展望：趋势、挑战与机遇.356.1

5、七大开放性挑战.356.2 技术演进方向.366.3 生态.376.4 人机协作的长期展望.376.5 行动建议.38References.392026 Agent Skills 技术与安全白皮书技术与安全白皮书1前言前言白皮书背景与写作目的白皮书背景与写作目的2025 年 10 月，Anthropic 在 Claude Code 中悄然引入了一个新概念Agent Skills。当时，可能连 Anthropic 自己都没有完全预见到，这个看似简单的“文件夹加 Markdown”的设计，会在接下来不到一年的时间里，彻底重塑 AIAgent 的能力组织方式。2025 年 12 月 18 日，Ant

6、hropic 将 Agent Skills 规范以开放标准形式正式发布，上线 agentskills.io，微软在 VS Code 和 GitHub 中直接集成，OpenAI 在Codex CLI 和 ChatGPT 中采用了几乎一模一样的架构，Cursor、国内 Trae、Qoder 等主流编码工具迅速跟进。与此同时，安全警报也同步拉响安全研究团队在社区市场 ClawHub 上发现了数百个恶意 Skill，AIAgent 供应链攻击拉开序幕。截至 2026 年 4 月，大型 Agent Skills 市场 已收录超过 90万个 Skill。Agent Skills 正在从一个开发者工具，演变

7、为一个行业基础设施。它带来了巨大的生产力提升可能，也带来了前所未有的安全挑战。在此背景下，作为国内领先的 AI 大模型开发服务平台，算泥社区秉持“技术专业、生态开放、开发者友好”的理念，联合社区众多资深分析师与技术专家、学者，共同撰写并发布2026 Agent Skills 技术与安全白皮书。这份白皮书的目标，就是在这一历史性转折点上，为技术人员、企业决策者、安全从业者和生态建设者提供一份系统、深入、可操作的参考指南。我们试图回答五个核心问题：Agent Skills 从何而来，解决了什么问题？Agent Skills 是什么，它的核心设计原理如何工作？为什么 Agent Skills 正在成

8、为 AIAgent 能力组织的标准范式？目前有哪些关键的 Skills 项目和生态资源？Agent Skills 带来了哪些安全挑战，以及如何应对？2026 Agent Skills 技术与安全白皮书技术与安全白皮书2第第 1 章章Agent Skills 的起源与发展的起源与发展1.1 AI 能力范式的演进能力范式的演进2022 年底 ChatGPT 横空出世后，全世界开始学习如何和 AI“说话”。我们发明了“提示词工程”这个概念，尝试用越来越长的 Prompt 引导模型做出我们想要的行为。Zero-shot、Few-shot、Chain-of-Thought、ReAct各种 Prompt

9、技巧层出不穷。Prompt 范式特征：范式特征：一次性自然语言指令+少量上下文示例。用户需要在一段 Prompt 里告诉模型所有信息：你是谁、你要做什么、怎么判断、输出什么格式。核心局限：核心局限：指令不可复用指令不可复用：每次开始新对话，同样的 Prompt 要重新粘贴一遍。写一个高质量的 Prompt 本身就是脑力劳动，但这份劳动成果只能存在自己的备忘录里。知识碎片化：知识碎片化：团队里每个人都有一套自己的 Prompt，质量参差不齐。好的Prompt 无法沉淀为组织资产。上下文窗口瓶颈上下文窗口瓶颈：长 Prompt 吃掉大量 token，直接推高成本和延迟。更致命的是，上下文越长，模型

10、在关键信息上的注意力越容易稀释。2023 年，OpenAI 推出了 Function Calling 能力，随后 Anthropic、Google 等主流模型厂商纷纷跟进标准化工具调用接口。这是一个质的飞跃模型不仅能“说”，还能“做”。Function/Tools Calling 的优势：的优势：外部能力调用标准化。模型可以通过结构化的 JSON schema 调用数据库、搜索 API、执行系统命令。MCP（Model ContextProtocol）在 2024 年 11 月由 Anthropic 推出，进一步标准化了工具发现、鉴权和上下文传递流程。核心局限核心局限：工具只解决“能做什么”，

11、无法封装“应该怎么做”。Function Calling定义的是工具的“接口”，不是工具的“用法”。举个例子：模型知道有一个execute_sql 工具可以调用，但它不知道你的数据库 schema 长什么样、查询应该遵循什么规范、什么样的查询在这个业务场景下是“对”的。这些知识，每次都得写在 Prompt 里。Skills 的范式跃迁的范式跃迁：它把“过程性知识”（procedural knowledge）即“在特定场景下应该如何做事”封装成了独立、可复用、可组合的模块。这不是给2026 Agent Skills 技术与安全白皮书技术与安全白皮书3模型增加一个工具，而是给模型安装一份“专业操作

12、手册”。这个范式的核心口号是：“Dont BuildAgents,Build Skills Instead.”不是去造一个什么都会的全能 Agent，而是造一堆专业的 Skills，让 Agent 按需加载。1.2 MCP 协议提出协议提出2024 年 11 月，Anthropic 正式发布了 Model Context Protocol（MCP）。这是一个开源协议标准，旨在标准化 AI 模型与外部工具、服务和数据之间的交互方式。MCP 的设计灵感来自 Language Server Protocol（LSP）就像 LSP 让任何编辑器都能获得智能代码补全能力一样，MCP 让任何 AI Age

13、nt 都能通过统一接口调用任何外部工具。它采用结构化的 JSON-RPC 协议，定义了工具发现、数据检索、命令执行和提示模板等标准化交互模式。MCP 解决了 AIAgent 与外部系统集成的三大痛点：工具发现工具发现：Agent 可以自动发现 MCP Server 提供的所有工具，无需人工配置。鉴权标准化鉴权标准化：统一的认证授权流程，不再需要为每个工具单独实现鉴权逻辑。上下文传递：上下文传递：标准化的上下文交换格式，确保 Agent 和工具之间能够顺畅沟通。MCP 解决了“能调用什么”的问题，但没有解决“应该怎么调用”的问题。以数据库操作为例：MCP 可以让 Agent 连接到 Postgr

14、eSQL，但 Agent 仍然不知道：这个数据库的表结构和关系是什么？查询应该遵循什么命名规范？什么样的 SQL 在这个业务场景下是被认为“安全”的？常见的分析场景应该怎么下 SQL？这些知识项目的技术规范、团队的最佳实践、行业的 SOP仍然散落在各个项目的 README、Wiki、Confluence 和每个人的长 Prompt 里。MCP给了 Agent“手脚”，但“脑子”里的专业知识还是空的。1.3 Skills 概念的诞生：从痛点到方案概念的诞生：从痛点到方案AI Coding/Agent IDE 的快速崛起的快速崛起2024 到 2025 年间，AI 编程工具进入爆发期。Claude

15、 Code、Cursor、GitHub2026 Agent Skills 技术与安全白皮书技术与安全白皮书4Copilot Workspace、Codex CLI、Gemini CLI 等工具让开发者开始习惯“让 AI 写代码”。Computer Use 功能更是让 AI 获得了直接操作电脑的能力移动鼠标、点击按钮、输入文字，AI 有了真正的“手脚”。但问题也随之而来。开发者们发现，虽然 AI 能写代码了，但每次都要先教它一堆东西项目的目录结构、团队的技术栈选择、代码风格规范、测试框架用法、部署流程这些“常识”对 AI 来说每次都是新知。开发者 Jesse Vincent最早意识到这个问题的严

16、重性：“开发者们发现，虽然因为 Computer Use 的诞生，让 AI 有了手脚，但 AI脑子里缺少针对特定任务的专业 SOP（标准作业程序）。”核心痛点三连核心痛点三连重复教重复教 AI 项目结构项目结构：每次开新会话，都要重新告诉 AI“我们这个项目的目录是这样的，配置文件在哪儿，测试用例在哪儿”。信息传递成本极高。团队经验无法标准化：团队经验无法标准化：资深工程师脑子里有一整套“在这个项目里怎么把事做对”的经验代码审查的检查点、部署的 checklist、文档的格式要求。这些经验没法自动传承给新成员，更没法让 AI 自动继承。跨产品迁移成本高：跨产品迁移成本高：你在 Claude C

17、ode 里写好的 Prompt，没法直接搬到Cursor 里用。每个工具的集成方式不同，知识被锁死在特定平台上。Skills 的类比定位的类比定位LLM CPU：提供通用计算能力Tools 驱动层：驱动层：让 CPU 能连接外部设备Skills 行业行业 SDK/Playbook 集合集合：封装特定领域的专业知识和工作流程，告诉 CPU 在这个行业里具体怎么干活这个类比解释了为什么 Skills 如此重要它补上了从“通用智能”到“专业能力”之间最关键的那一层。正如 PC 时代的 SDK 让开发者不用从底层写起，Skills 让 Agent 不用从零开始学习每个领域的专业知识。1.4 Anthr

18、opic 官方发布时间线官方发布时间线时间事件2025-10-16Agent Skills 正式发布：Anthropic 在工程博客和 Claude 博客发布Equipping agents for the real world with Agent SkillsIntroducing AgentSkills，提出基于 SKILL.md 的 Agent Skills 概念，并宣布 Skills 在Claude.ai、Claude Code 与 Claude API 中可用，用于将指令、脚本和资源打包成可复用的“能力模块”。2025-12-18开放标准&企业级能力&合作伙伴目录：Claude 博

19、客Skills for2026 Agent Skills 技术与安全白皮书技术与安全白皮书5organizations,partners,the ecosystem发布，Skills 支持组织级集中管理，上线 Skills Directory，收录 Notion、Canva、Figma、Atlassian 等合作伙伴技能；同日及相关工程文更新中，Anthropic 宣布 Agent Skills 规范作为开放标准发布并在 agentskills.io 公布，支持跨平台可移植。2025-12-19Skills MCP 架构公布：官方博客 Extending Claudes capabilitie

20、s with skillsand MCP servers解释 Skills 如何与 MCP 联动：MCP 负责外部工具与数据连接，Skills 负责把这些能力固化为可复用、可治理的工作流，给出财务分析、Notion Meeting Intelligence 等典型场景。2026-03-03Skill-creator 升级：评估与 2.0 能力（社区称 Skills 2.0）：Claude 博客Improving skill-creator:Test,measure,and refine Agent Skills发布，Skill-creator 新增结构化 evals、benchmark mod

21、e、多代理并行测试、A/B 对比和触发优化，标志着 Skills 从“写出来感觉不错”进入“可度量、可回归、可演进”的工程化阶段。1.5 生态的爆发：从编码工具到全场景渗透生态的爆发：从编码工具到全场景渗透起源于起源于 Claude Code 编程场景编程场景Agent Skills 最初是作为 Claude Code 的扩展机制设计的，解决的是编程场景下“让 AI 更懂项目”的问题。早期 Skills 大多围绕代码审查、测试自动化、Git 工作流、文档生成等开发者场景。非编程场景的病毒式传播非编程场景的病毒式传播2026 年 1 月是 Skills 生态的转折点。非技术用户开始涌入，将 Sk

22、ills 用于大量非编码场景：度假研究：自动规划行程、预订酒店、整理景点攻略PPT 制作：根据数据自动生成演示文稿邮件清理：智能分类、批量处理、生成回复草稿表单自动化：自动填写各类表格甚至有人开发了控制烤箱的 Skill一位科技行业资深分析师总结道：“当你把一堆报销单扔给它时，它会默默启动Expense-AuditSkill，自动调取 OCR、校验税号、生成报表。这种挂载即用的体验，让 Skills 成了 2026 年职场人最梦寐以求的外挂。”行业标准格局初定行业标准格局初定Anthropic 发布 Skills 开放标准后，行业跟进速度快得惊人：微软在 VS Code 和 GitHub 中直

23、接集成OpenAI 在 Codex CLI 和 ChatGPT 中采用了几乎相同的架构Cursor 成为首个全面支持 Agent Skills 的 AI IDE国内阿里 Qoder、字节 Trae、腾讯 CodeBuddy 纷纷支持 Skills2026 Agent Skills 技术与安全白皮书技术与安全白皮书6第第 2 章章什么是什么是 Agent Skills2.1 官方定义与核心理念官方定义与核心理念Anthropic 对 Agent Skills 的官方定义是：“Skills are organized collections of files that package compos

24、able proceduralknowledge for agents.”这句定义值得逐词拆解，因为它精准地揭示了 Skills 的本质：“organized collections of files”文件系统抽象，极低创作门槛文件系统抽象，极低创作门槛Skill 不是一个复杂的二进制文件或需要编译的插件，它就是一个文件夹。里面放的主要是 Markdown 文本文件和可选的脚本。这意味着：创建 Skill 的门槛极低会用文本编辑器就能写版本控制天然友好直接放进 Git 仓库，diff、merge、blame 全部可用分发极其简单压缩打包或直接 clone 即可“composable”乐高积木式

25、组合与嵌套乐高积木式组合与嵌套Skills 被设计成可以自由组合。一个复杂的任务可以由多个 Skill 协作完成：Pipeline 模式串联执行、多个 Skill 并行触发、或者一个 Skill 内部调用另一个Skill 的能力。这种可组合性让 Skills 生态可以像乐高一样快速搭建复杂工作流。“procedural knowledge”过程性知识过程性知识（How），而非陈述性知识而非陈述性知识（What）这是最关键的区分。陈述性知识是“事实”（What）比如“Python 的列表推导式语法是这样的”。过程性知识是“方法”（How）比如“在这个项目里，当你需要过滤一个列表时，应该用列表推导

26、式还是 filter 函数？为什么？代码应该写在哪个文件里？遵循什么命名规范？”Skills 封装的是后者那种“在这个具体场景下，应该这么做”的知识。这种知识在传统组织中存在于资深员工的头脑里、散落在各种 Wiki 页面中、口口相传却从未被系统化。Skills 让这种知识第一次可以被“打包”和“分发”。核心理念：核心理念：Skills 的本质是的本质是“可执行的知识可执行的知识”Skill 不仅仅是文档它里面可以包含可执行脚本。一个 PDF 处理 Skill不只是告诉 Agent“你应该用 pypdf 库来处理 PDF”，它直接提供了一个写好的Python 脚本，Agent 可以直接调用。Sk

27、ill 既教 Agent“怎么做”，又提供“做”的具体工具。本报告来源于三个皮匠报告站（）,由用户Id:1181721下载,文档Id:1209244,下载日期:2026-04-272026 Agent Skills 技术与安全白皮书技术与安全白皮书72.2 基础文件结构详解基础文件结构详解Skill 在整个 Agent 中的位置如下图：以 Claude 为例，Skills 在代码执行环境中运行，Claude 在该环境中具有文件系统访问权限、bash 命令和代码执行能力。Skills 作为目录存在于虚拟机上，Claude 使用与您在计算机上导航文件相同的 bash 命令与它们交互。一个 Skil

28、l 是一个文件夹，文件夹结构类似下面这样：或者这样：2026 Agent Skills 技术与安全白皮书技术与安全白皮书8其中只有 SKILL.md 是必须的。可选的文件或文件夹可以根据需要调整。我们以下面这种结构来拆解分析：my-skill/SKILL.md#必须：主文件（YAML 元数据+Markdown 指令体）scripts/#可选：可执行代码（Python/Bash/JS 等）references/#可选：参考文档（规则、规范、领域知识库）assets/#可选：静态资源（icon、图片、输出模板）2.2.1 SKILL.md：双层结构解析：双层结构解析SKILL.md 是每个 Ski

29、ll 的核心文件，由两部分组成：YAML 元数据区（Frontmatter）位于文件开头，用-包裹，定义 Skill 的元信息：字段必需说明示例nameSkill 名称，64 字符，只name:pdf2026 Agent Skills 技术与安全白皮书技术与安全白皮书9能使用小写字母、数字和连字符description用途与触发时机，含关键词，1024 字符description:Comprehensive PDF toolkit forextracting text and tables,merging/splittingdocuments,and filling-out forms.lic

30、ense许可证类型license:Apache 2.0compatibility环境依赖说明compatibility:Requires git,docker,jq,andaccess to the internetallowed-tools预批准工具白名单，空格分隔allowed-tools:Bash(git:*）Bash(jq:*）Readdisable-model-invocation若为 true，仅用户可触发（适用于高风险操作）disable-model-invocation:trueuser-invocable若为 false，仅 Agent 可触发（适用于背景知识）user-in

31、vocable:falsemetadata任意键值扩展元数据metadata:author:xxx version:1.0Markdown 指令区位于 YAML 元数据区之后，是 Skill 的核心指令内容。包含：触发条件说明：触发条件说明：什么情况下应该使用这个 Skill工作流步骤：工作流步骤：详细的操作流程，一步一步指导 Agent工具使用指南：工具使用指南：何时调用哪个脚本或工具输出格式要求：输出格式要求：期望的输出结构和格式注意事项和边界：注意事项和边界：什么能做、什么不能做、有什么坑工程实践建议：工程实践建议：控制长度：SKILL.md 指令体建议500 行，超出部分移入 refe

32、rences/使用结构化标题：便于 Agent 精准定位信息，降低注意力稀释避免过长的嵌套结构：Markdown 层级不宜过深，Agent 对深层嵌套的解析容易出错2.2.2 scripts/：行动力目录：行动力目录scripts/目录包含可执行代码Python 脚本、Bash 脚本、JavaScript 等。这是 Skill 从“知道”到“做到”的关键。2026 Agent Skills 技术与安全白皮书技术与安全白皮书10scripts/目录包含多个功能脚本。这些脚本被设计为 CLI 工具，Agent 可以直接通过命令行调用，传入参数获取结果。这比让 Agent 自己生成代码有两个巨大优势

33、1.确定性：确定性：脚本是预先写好和测试过的，行为可预期2.效率：效率：Agent 不需要每次重新生成代码，直接调用即可安全警示：安全警示：scripts/也是 Skill 最大的安全风险来源。任何可执行代码都可能在用户系统上以用户权限运行。详见第 5 章的安全分析。2.2.3 references/：领域知识库：领域知识库references/存放只读的参考文档：规则文档（如代码规范、品牌指南）领域知识（如 API 文档、数据库 schema）使用示例和最佳实践指令（instructions）与参考（references）的分离是重要的设计原则：SKILL.md中的指令应该是简洁的工作流描

34、述，具体的细节文档放到 references/中，通过Markdown 链接引用。这样既保持指令的可读性，又确保需要时可以查阅详细信息。2.2.4 assets/：视觉与素材资源：视觉与素材资源assets/存放静态资源：图标和图片输出模板（如 Word 模板、PPT 母版）配置文件样例用于提升 Skill 的可视化表达与输出标准化。例如 brand-guidelines Skill 可以在 assets/中存放品牌 Logo 和配色方案文件。2.3 渐进式披露：核心设计原理渐进式披露：核心设计原理设计动机：有限上下文窗口设计动机：有限上下文窗口 vs.无限能力扩展需求的根本矛盾无限能力扩展需

35、求的根本矛盾这是一个根本性的工程矛盾。我们想让 Agent 拥有尽可能多的能力，但上下文窗口是有限的。而且，把所有能力全部塞进上下文不仅浪费 token，还会严重稀释模型的注意力模型在面对大量工具描述时，既要理解当前任务，又要判断该用哪个工具，本身就会出现注意力分散。三种传统方案的困境：2026 Agent Skills 技术与安全白皮书技术与安全白皮书11全量加载：全量加载：把所有知识都放进 SystemPrompt 上下文占用 15k+tokens，资源浪费，扩展性差多多 Agent 架构架构：每个 Agent 只加载自己的专业领域 局部看仍然是全量加载，切换成本高RAG：向量检索动态加载

36、知识 流程性知识检索失真，上下文碎片化，准确率上限 70-80%AgentScope 团队用一个精彩的类比说明了问题本质：想象你是一位电商平台的全能客服，需要处理订单、退款、技术故障、投诉等各类问题。全量加载：就像入职培训时把几十本手册全部背下来，即使用户只问个快递单号也要承载所有记忆负担多 Agent 方案：就像把你拆分成订单客服、退款客服、技术客服，每通电话都需要“语音导航”判断转给谁RAG 方案：就像有个助手根据问题去知识库搜索，但可能搜到过期的政策，或者只搜到零散的操作步骤却漏掉关键前置条件我们需要的是一种更聪明的机制：Agent 脑子里有个清晰的“目录”，平时只记住目录，需要时才查阅

37、完整内容。这就是渐进式披露（Progressive Disclosure）。三层加载架构不同的 Agent 架构设计，对 Skill 加载可能略有不同，我们以 Claude Code为例。我们仍然以下面这种结构来拆解分析：my-skill/SKILL.md#必须：主文件（YAML 元数据+Markdown 指令体）scripts/#可选：可执行代码（Python/Bash/JS 等）references/#可选：参考文档（规则、规范、领域知识库）assets/#可选：静态资源（icon、图片、输出模板）渐进式披露将 Skill 的信息分为三个层次，Agent 按需逐步加载：第一层：元数据层（启

38、动时加载）第一层：元数据层（启动时加载）内容：每个 Skill 的 SKILL.md 文件夹中的name和description两个字段内容加载时机：Agent 启动时预加载进系统提示Token 消耗：每个 Skill 约 30-50 tokens2026 Agent Skills 技术与安全白皮书技术与安全白皮书12作用：让 Agent 知道“有什么能力可用”，作为触发判断的依据第二层：指令层（任务触发时加载）第二层：指令层（任务触发时加载）内容：完整的SKILL.md文件（包含 YAML 元数据和 Markdown 指令体）加载时机：Agent 判断某个 Skill 与当前任务相关时作用：

39、获取详细的操作指南、工作流步骤、注意事项第三层：资源层（执行需要时加载）第三层：资源层（执行需要时加载）内容：references/中的参考文档、scripts/中的脚本、assets/中的资源文件加载时机：执行具体操作需要时（如填写 PDF 表单时才加载forms.md）作用：提供深度领域知识和可执行代码效果：效果：拥有数百个 Skills 不会陷入上下文过载。Agent 启动时只加载所有Skill 的元数据（几百个 Skill 也不过几千 tokens），只有真正用到的 Skill 才会被完整加载。Token 成本线性可控，而不是随 Skill 数量爆炸式增长。vurb/skills 这个

40、 npm 包很好地实现了这一架构，提供了三层工具：skills.search（搜 索 元 数 据）skills.load（加 载 完 整 指 令）skills.read_file（读取辅助文件）。2.4 Agent 如何发现、选择、使用与组合如何发现、选择、使用与组合 Skills发现（发现（Discovery）Agent 启动时，会扫描 Skills 目录，将所有 SKILL.md 的 YAML 元数据（name+description）预加载进系统提示。这使得 Agent 在每次对话开始时就知道自己“工具箱里有什么”。关键设计点：关键设计点：description 是触发匹配的核心。一个好

41、的 description 应该包含丰富的关键词，让 Agent 能够在用户描述任务时准确识别相关 Skill。选择（选择（Selection）Agent 基于元数据匹配判断相关 Skill。当用户提出任务时，Agent 会：扫描所有已安装 Skill 的 description语义匹配判断哪些 Skill 可能相关按需触发加载这些 Skill 的完整内容这个过程是全自动的用户不需要手动指定“请使用 PDF Skill”，只需要正常描述任务（“帮我提取这份合同里的付款条款”），Agent 会自动识别并激活正确的 Skill。2026 Agent Skills 技术与安全白皮书技术与安全白皮书1

42、3使用（使用（Execution）Skill 被激活后，Agent 会：1.读取完整的 SKILL.md 指令体2.按照指令中的工作流步骤执行3.需要时调用 scripts/中的脚本、查阅 references/中的文档或 assets/中的资源4.按照指令要求的格式输出结果当 Skill 被触发时，Claude 使用 bash 从文件系统读取 SKILL.md，将其指令带入上下文窗口。如果这些指令引用了其他文件（如 FORMS.md 或数据库模式），Claude 也会使用额外的 bash 命令读取这些文件。当指令提到可执行脚本时，Claude 通过 bash 运行它们，只接收输出（脚本代码本

43、身永远不会进入上下文）。组合（组合（Composition）Skills 支持多种组合方式：并行触发：并行触发：多个相关 Skill 同时被激活，Agent 综合它们的指令执行Pipeline 模式：模式：多个 Skill 顺序编排，前一个的输出作为后一个的输入嵌套调用：嵌套调用：一个 Skill 在指令中明确引用另一个 Skill2.5 五大标准设计模式五大标准设计模式源自 Google Cloud Tech 团队对 Skills 生态的系统研究，这五种设计模式覆盖了绝大多数 Skill 的应用场景：2026 Agent Skills 技术与安全白皮书技术与安全白皮书14模式模式核心思想核心

44、思想典型场景典型场景Tool Wrapper（工具包装器）将特定框架/工具的最佳实践封装为 Skill，让 Agent 知道如何正确使用该工具FastAPI 开发、数据库操作、React 组件Generator（生成器）结合模板实现标准化、高质量输出，确保每次生成结果符合团队规范Git 提交信息、API 文档、周报生成Reviewer（审查器）将“检查标准”与“执行逻辑”解耦，Agent 先执行再自我审查或交叉审查代码审查、品牌合规、安全审计Inversion（反转）强制 AI 先结构化提问再执行，避免 AI 基于不完整信息盲目行动需求收集、问题诊断、文档生成Pipeline（管道）多阶段顺序

45、执行+检查点+人工确认节点，适合复杂多步骤任务代码部署、内容发布、文档生产Tool Wrapper 执行流程和示例：2026 Agent Skills 技术与安全白皮书技术与安全白皮书15Generator 执行流程和示例：2026 Agent Skills 技术与安全白皮书技术与安全白皮书16Reviewer 执行流程和示例：Inversion 执行流程和示例：2026 Agent Skills 技术与安全白皮书技术与安全白皮书17pipeline 执行流程和示例：2026 Agent Skills 技术与安全白皮书技术与安全白皮书18模式组合示例：模式组合示例：每种模式都解决了不同的问题。

46、使用如下这个决策树来为你的用例寻找正确2026 Agent Skills 技术与安全白皮书技术与安全白皮书19的模式：Pipeline+Reviewer：每个阶段嵌入审查节点。例如代码部署 Pipeline：代码生成 代码审查 测试执行 安全审计 人工确认 部署Generator+Inversion：先收集参数再标准化生成。例如周报生成 Skill：先提问收集本周关键事项 确认优先级和重点 按模板生成标准化周报Pipeline+Generator+Reviewer：完整文档生产流水线。先收集素材 生成初稿 格式审查 内容审查 人工修改 定稿发布这些模式不是理论推演，而是从大量实际 Skills

47、 中提炼出来的最佳实践。掌握这五种模式，就可以系统化地设计和创建高质量的 Skills。2.6 Skill 工程实践建议工程实践建议控制长度控制长度SKILL.md 指令体建议控制在 500 行以内。超过这个长度会带来两个问题：一是 Agent 在长文本中定位信息的效率下降，二是加载时间变长。如果内容确实很多，将详细说明移入 references/，通过 Markdown 链接引用。使用结构化标题使用结构化标题用清晰的 Markdown 标题层级组织内容（H1 用于主标题，H2 用于大节，H3 用于小节）。Agent 更容易在结构清晰的文档中定位信息。避免过深的嵌套，H4 及以下层级容易在模型

48、注意力中丢失。与版本控制整合与版本控制整合Skills 天然适合 Git 管理：2026 Agent Skills 技术与安全白皮书技术与安全白皮书20每个 Skill 独立仓库或 monorepo 中的独立目录使用 Git 进行版本控制和协作Code Review 确保 Skill 质量标签和 Release 管理 Skill 版本评测（评测（Evals）驱动迭代）驱动迭代2026 年 3 月，Anthropic 为 skill-creator 新增了测试框架可以写 evals、跑基准测试、A/B 对比两个版本的 Skill，全程不需要写代码。这意味着 Skills 的迭代可以像软件工程一样

49、数据驱动：功能正确性：功能正确性：Skill 是否按预期完成任务安全性：安全性：是否存在安全漏洞或恶意行为性能：性能：执行时间和 token 消耗成本：成本：每次调用的 token 成本评测驱动迭代的核心问题是：你的 Skill“到底是在弥补模型能力的不足，还是在固化团队的工作方式”？好的 Skill 应该让 Agent 比没有 Skill 时表现更好，而不是简单地重复已有的工作习惯。第第 3 章章为什么需要为什么需要 Agent Skills3.1 范式价值：从范式价值：从“单一智能单一智能”到到“模块化智能模块化智能”操作系统类比：操作系统类比：计算机操作系统的发展史是理解 Skills

50、范式价值的最佳参照。早期操作系统是单体内核所有功能（文件系统、驱动、网络栈）全部塞在一个巨大的内核里。任何小改动都需要重新编译整个系统，稳定性和可维护性极差。后来演进为微内核+模块化驱动架构。核心只负责调度和通信，具体功能由可插拔的模块实现。这个架构变革带来了三个革命性变化：1.稳定性：稳定性：一个驱动崩溃不会拖垮整个系统2.可扩展性：可扩展性：新硬件只需要一个新驱动，不需要动内核3.生态繁荣：生态繁荣：第三方开发者可以为系统贡献驱动Agent Skills 在 AI 领域完成了同样的范式跃迁。Agent 成为轻量级的“调度器”，Skills 是可插拔的“能力模块”。你不需要一个“全能的 Ag