夜雨聆风你好,欢迎关注「AI工程手记」。
这里主要分享 AI 工程、Agent、自动化工作流和开源项目实战。
不讲太多概念,重点是怎么做、怎么用,趟过哪些坑。
今天聊的这个趋势,很可能让你现在的 AI 编程助手,从「只会写代码」突然变成「懂架构、会审查、能安全上线」的全栈搭档。
先说结论:
你有没有这种感觉——你的 AI 编程助手挺聪明,但每次让它干活,总得从头交代一遍「怎么干」。你说「帮我写个API」,它直接撸代码,不考虑鉴权、不写测试、不管部署。
Agent Skills 生态就是来解决这个的。
它给 AI 编程助手装上了一套「职业素养」——定义需求、拆分任务、测试驱动、安全审查、一键发布。不是换了个新模型,而是给现有模型配了个「资深工程师操作手册」。
这篇文章从 6 个问题讲清楚:发生了什么 / 为什么是现在 / 谁在押注 / 对你意味着什么 / 我的判断 / 接下来该关注什么。
一、发生了什么:6 天之内,Agent 技能生态全面爆发
如果你这周还没打开 GitHub Trending,你可能错过了一场 AI 编程助手的「iOS App Store 时刻」。
6 月 11 日,addyosmani/agent-skills 以单日 821 星的增速登上 GitHub Trending #1。 上线不到一周,56,600 星。
这个项目做了什么?它把资深工程师在软件开发每个阶段的最佳实践,打包成了 7 个斜杠命令:
| 命令 | 阶段 | 核心原则 |
|---|---|---|
/spec |
定义需求 | 先写规格,再写代码 |
/plan |
制定计划 | 小步快跑,原子化任务 |
/build |
逐步构建 | 一次只切一片 |
/test |
验证正确 | 测试即证明 |
/review |
合并前审查 | 改善代码健康度 |
/code-simplify |
代码简化 | 清晰胜过聪明 |
/ship |
发布上线 | 快就是安全 |
你只要输入 /spec,你的 Claude Code 或 Codex CLI 就不再直接写代码了——它先跟你对齐「到底要做什么」,拆成规格文档,你确认后才开始动手。
更关键的是,这些技能是自动触发的。 你不需要记命令。当你在设计 API,api-and-interface-design 技能自动激活。当你在搭 UI,frontend-ui-engineering 自动介入。就像一个有经验的同事,该出手时才出手。
但 agent-skills 只是冰山一角。
就在同一周,GitHub Trending 前 6 名里,4 个是 Agent Skills 项目:
#1 addyosmani/agent-skills(56.6k⭐):工程技能包,覆盖 Define→Plan→Build→Verify→Review→Ship #2 phuryn/pm-skills(15.6k⭐):PM 技能市场,100+ 技能覆盖产品发现、策略、执行、上线 #3 obra/superpowers(226k⭐):Agent 技能框架 + 完整软件开发方法论,子 Agent 自主开发 #6 NVIDIA/SkillSpector(2.4k⭐):Agent 技能安全扫描器——发现 26.1% 的技能含漏洞
这不是一个项目火了。这是一个生态在同一天完成了冷启动。
二、为什么是现在:三个条件同时成熟
「技能包」这个概念不是新东西。VS Code 有插件,Chrome 有扩展,为什么 AI 编程助手的技能生态,偏偏在 2026 年 6 月的这一周集中爆发?
条件一:Agent 运行环境够稳了。
2025 年,AI 编程助手还在解决「能不能写出能运行的代码」。Claude Code、Codex CLI、Gemini CLI 花了一年把基础执行稳定性做到 95%+。现在问题变了:不是「能不能写」,而是「写得好不好」。技能包解决的就是「好不好」的问题。
条件二:技能格式正在标准化。
agent-skills 用 SKILL.md 格式,superpowers 用同样的格式,pm-skills 也用同样的格式。Claude Code 的插件市场、Codex 的插件市场、Gemini CLI 的扩展系统——三家主流 Agent 环境都支持同一种技能格式。这就像 iPhone 和安卓同时支持同一种 App 格式——生态爆炸的物理条件具备了。
条件三:安全需求催生了基础设施。
NVIDIA 的 SkillSpector 告诉你一个数据:26.1% 的公开 Agent 技能包含漏洞,5.2% 有恶意意图。 你给 Agent 装一个「自动化部署」技能,它可能顺手把你的 .env 文件发到外部服务器。SkillSpector 就是来解决这个的——64 种漏洞模式,16 个安全类别,从提示注入到数据泄露到供应链攻击全覆盖。
安全基础设施的出现,往往是生态从野蛮生长进入规模化的信号。
三、谁在押注:从独立开发者到 NVIDIA,所有人都在抢位
这个生态的参与者图谱,比你想象的丰富:
个人开发者侧:
Addy Osmani(Google Chrome 工程总监)用 agent-skills 定义了「工程最佳实践即技能」的标准范式 Jesse Vincent(obra)用 superpowers 证明了技能框架可以做到「子 Agent 自主开发 2 小时不走偏」 phuryn 把 PM 的工作流程完整技能化——从发现到上线,100+ 个技能
大厂侧:
NVIDIA 直接下场做了 SkillSpector——不是实验室玩具,是面向生产环境的 Agent 技能安全基础设施,支持 SARIF 格式对接 CI/CD Google 的 Gemini CLI 原生支持 skills 安装 Anthropic 把 agent-skills 和 superpowers 都接入了 Claude Code 官方插件市场 OpenAI 把 superpowers 接入了 Codex CLI 官方插件市场
生态基础设施侧:
不止技能本身。cc-switch(GitHub Trending #11)是一个跨平台桌面工具,让你在一个界面里切换 Claude Code、Codex、OpenCode、Gemini CLI、Hermes Agent——支持所有主流 Agent 环境的技能管理。agentsview 提供 Agent 会话分析,帮你理解技能的实际使用效果。
这是一个完整的生态闭环:技能生产 → 安全审查 → 多平台分发 → 效果分析。
四、对普通开发者意味着什么:你的 AI 助手突然「职业化」了
说人话:以前你的 AI 编程助手像个刚毕业的实习生——聪明但没经验,你让干啥就干啥,不考虑全局。
装上 Agent Skills 之后,它变成了:
有了 /spec:不再直接写代码,先跟你确认「需求到底是什么」有了 /plan:拆成 5-10 个独立任务,每个任务有明确的「完成标准」有了 /test:写完代码自动写测试,测试不通过不让你提交有了 /review:提交前自动审查代码质量、安全漏洞、性能隐患有了 /ship:一键生成 changelog、打 tag、触发 CI/CD
而且这些不是「你要求它做」,是「它自动做」。
一个实际的使用场景:你说「我想给博客加个评论功能」。
没有技能包的 Agent:直接生成一个评论组件代码,扔给你。
装了 agent-skills 的 Agent:
先 /spec:跟你确认需要什么(匿名评论?审核机制?邮件通知?)再 /plan:拆成 6 个原子任务(数据库 schema → API 端点 → 前端组件 → 审核后台 → 邮件通知 → 部署配置)执行 /build auto:自动完成全部 6 个任务,每个任务测试驱动/review:检查 SQL 注入风险、XSS 防护、API 限流/ship:生成部署文档,自动配置 CI
你只需要在步骤 1 确认需求,其余全程自动。
这不是「写得更快」,是「工程范式变了」。
五、我的判断:这不是一阵风,是 AI 编程的「分工革命」
三个判断:
判断一:技能生态会复刻 VS Code 插件市场的增长曲线。
VS Code 插件市场从 0 到 10,000 个插件用了 4 年。Agent 技能市场从 0 到 10,000 个技能,我估计用不了 12 个月。因为创建门槛更低——写一个 SKILL.md 比开发一个 VS Code 扩展简单一个数量级。
判断二:「技能安全」会成为一个独立赛道。
SkillSpector 发现 26.1% 的技能有漏洞。当企业开始在生产环境使用 Agent 技能时,「技能安全审查」就是刚需。NVIDIA 先手布局,但国内这个赛道还是空白。
判断三:技能会成为 Agent 之间竞争的核心差异化能力。
现在大家比的是「哪个 Agent 代码写得更好」。一年后比的将是「谁有更丰富的技能生态」。就像今天的手机,硬件差不多,比的其实是 App Store 里有什么。Claude Code 的官方插件市场已经上线,Codex 的也在跟进——Agent 的「应用商店战争」已经开始了。
六、接下来该关注什么:3 件事你今天就可以做
1. 试一下 agent-skills(3 分钟搞定)
如果你用 Claude Code:
/plugin marketplace add addyosmani/agent-skills
/plugin install agent-skills@addy-agent-skills
如果你用 Codex CLI:
在插件搜索界面搜 agent-skills,点安装。
然后下次写代码时试试 /spec,感受一下「先对齐需求再写代码」是什么体验。
2. 装一个 SkillSpector 保护自己
git clone https://github.com/NVIDIA/skillspector.git
cd skillspector
uv venv .venv && source .venv/bin/activate
make install
以后安装任何 Agent 技能前,先跑 skillspector scan <技能目录>。
3. 关注技能格式标准化进程
目前 SKILL.md 正在成为事实标准。如果你是工具链开发者,现在让产品支持这个格式,就是在抢生态位。Hermes Agent 已经支持技能系统——你可以在 Hermes 上直接使用这些技能包。
项目地址:
addyosmani/agent-skills[1] — 56.6k ⭐ obra/superpowers[2] — 226k ⭐ NVIDIA/SkillSpector[3] — 2.4k ⭐ phuryn/pm-skills[4] — 15.6k ⭐
一句话总结:Agent Skills 生态不是「又一个 AI 工具」,而是 AI 编程助手从「能写代码」到「会做工程」的范式拐点——现在入场的开发者,正在定义下一个 10 年的编程方式。
这里是「AI工程手记」。
我会持续更新 AI 工程、Agent 工作流、自动化实战和开源项目观察。
关注 AI 工程怎么真正跑起来。
引用链接
[1]addyosmani/agent-skills: https://github.com/addyosmani/agent-skills
[2]obra/superpowers: https://github.com/obra/superpowers
[3]NVIDIA/SkillSpector: https://github.com/NVIDIA/SkillSpector
[4]phuryn/pm-skills: https://github.com/phuryn/pm-skills
