你给 AI 配的工具越多,它干活反而越贵——一份行李账单讲清 MCP vs Skills坐飞机托运行李的规矩大家都熟,按件收费,每飞一段收一次,箱子里的东西不管你用没用,钱照付。现在想象一位维修工出差。他随身拖着一只 43 件套的工具箱,这趟活只需要拧一颗螺丝,但整箱得跟着他托运,下一段航班,再付一遍。旁边座位的乘客口袋里只有一张卡片,上面列着他家工具墙的全部家当,落地之后需要哪件,才取哪件。两个人干的活一模一样,行李账单差出几十倍。这就是 2026 年 agent 圈吵得最凶的一场路线之争,给 agent 添能力,走 MCP 还是走 Skills。今天把这场架拆开讲讲,账单差在哪,谁在抢谁的地盘,以及为什么这场仗打到最后可能没有输家。01 先把三个名词讲成人话Tool 是一段代码,比如 send_email(to, subject, body),给 agent 一双手脚。Skill 是一份文档,比如《周报生成流程.md》,里面写着每周五几点、从哪取数据、按什么格式组织、最后用哪个工具发出去。它给 agent 的东西叫经验。文档指挥代码,经验指挥手脚。MCP 是 Anthropic 在 2024 年 11 月发布的开放协议,管的是 agent 怎么连外部服务。10 个 agent 产品要对接 20 个外部服务,本来每对都得写一遍对接,200 份代码,有了 MCP,各方实现一次协议就够,30 份。业内爱拿 USB-C 打比方,统一接口,插上就通。Skills 的格式同样出自 Anthropic,2025 年底的 Agent Skills 规范,OpenClaw、Claude Code、Hermes 这些主流 agent 事实兼容。会写文档就能给 agent 添能力,不要求会编程。照理说这两样东西一个管能做什么,一个管该怎么做,井水不犯河水。但从 2025 年底吵到现在,火药味越来越浓。争的东西和技术对错无关,抢的是同一个位置,第三方想给 agent 添能力的时候,第一个想到谁。记不住名字没关系,记住一句话——MCP 是 USB 接口,Skills 是 App,后面全在这句话上展开。02 账单是怎么差出 4 到 32 倍的回到那只工具箱。MCP 有个先天设定,接上一个 MCP server,它旗下所有工具的定义,名字、描述、输入输出格式,每一轮对话都要全量塞进模型的上下文。GitHub 官方的 MCP server 暴露 43 个工具,哪怕这一轮你只查一个 issue,43 份工具说明全在窗口里占着位置。上下文按 token 计费,每轮重新算一遍账,这就是每飞一段收一次的行李费。Skills 走另一条路。技能列表常驻的只有名字加一句话描述,每条几十个 token,正文等真要用了才注入。口袋里那张清单卡片,说的就是它。实测数据摆在那,同样的任务,MCP 比 Skills 贵 4 到 32 倍 token。更有意思的是混合用法。有工程师给自己的 MCP 工具配了一份 skills 说明书,写明什么场景用哪个工具、按什么流程走,token 消耗降了 87%。agent 不再靠反复试错和通读全部说明来搞懂工具,照着手册直接干活。驱动还是那套驱动,配上一本操作手册,立刻便宜下来。这一点我自己有体感。我日常维护着一个 400 多条工程踩坑记录的 skills 知识库,给自己的多团队 AI 工作流用。四百多条经验,常驻在上下文里的只是一排标题,真正被翻开的永远只有当下要用的那一两条。这套东西跑了大半年,我没为它的 token 账单皱过一次眉。03 替 MCP 说几句公道话看到这里,是不是觉得胜负已分?慢着。有些事 Skills 真做不了。你要连一个需要认证的公司数据库,要维持连接池和会话状态,要保证每次调用的参数严格对上类型,这些都得靠 MCP 这样的运行时协议。文档没有手脚,一份 markdown 连不上 MySQL。MCP 独有Skills 独有能干的事访问受认证保护的远程资源、维持状态、强类型调用传授流程与判断、零运行时、复制文件即分发一句话概括原子能力(动词)组合智慧(剧本)这张表用人话再说一遍,MCP 给的是动词,Skills 给的是剧本。剧本可以调度动词,动词包不住剧本,所以两者天然有上下层之分,Skills 在上管流程,MCP 在下管连接。谁也取代不了谁的那一层。MCP 阵营也在自救。2026 年 1 月,协议加入了 progressive discovery,渐进式发现,工具说明按需拉取,要用的时候先检索再调用。我写这篇文章的工作环境就是这么跑的,MCP 工具默认延迟加载。那只 43 件套的工具箱,总算学会了只托运今天要用的那一件,行李费的差距在缩小。04 生态位是怎么被抢的技术账算完,看市场怎么投票。第一张票来自腾讯地图。它 2026 年 3 月给 agent 生态供地图能力,做的是一个 skills 仓库,挂在 GitHub 上,没做 MCP server。一个 repo 就完成分发,覆盖所有兼容平台,零服务器运维。对供给能力的第三方来说,这个发布门槛低了整整一个数量级。第二张票来自开发者的日常选择。很多本该做成 MCP server 的能力,正在被「skill 文档加一个 CLI 脚本」替代,skill 里写一句去调用某个脚本,整个协议运行时被绕开了。agent 本来就会用 shell,很多集成根本用不着一层协议。第三张票最微妙,两边在互相吞对方的渠道。OpenClaw 在 2026 年 7 月的 v2026.7.1 版本里,把自家 skills 通过 MCP bridge 暴露成 MCP 工具,技能生态反过来借协议的管道往外输出。你中有我,我中有你。还有一个事实经常被忽略。这两个标准,全是 Anthropic 发起的。MCP 在 2024 年 11 月,Agent Skills 在 2025 年底。所以这场仗压根没有两家公司对垒,同一家公司先后押了两层,社区在用脚投票哪一层才是能力分发的主形态。类比很现成,MCP 像 USB 标准,Skills 像 App,而 App Store 的钱从来在 App 层,没在 USB 层。05 两边都能被投毒,但姿势不一样行李再便宜,也得防着有人往箱子里塞东西。Skills 的攻击面在文档本身。技能文档就是一段要注入 prompt 的文本,一句恶意指令可以藏在几百行 markdown 里,还能附带可执行脚本,走供应链的路子。2026 年上半年,OpenClaw 的技能商店 ClawHub 就被曝出投毒事件。MCP 那边的玩法叫 tool poisoning,恶意 server 把指令藏在工具描述里,工具描述同样是要进 prompt 的文本。一个叫 MCPTox 的基准测了 45 个真实 MCP server,对 o1-mini 的攻击成功率 72.8%。这项测试里最扎人的结论,值得单独一段。越强的模型,越容易中招。因为攻击利用的恰恰是模型的指令遵循能力,越听话,毒下得越顺。安全性并不随模型能力自动提升,防线只能建在运行时的权限控制和行为审计上。指望模型自己长出免疫力,方向就错了。这一局两边打平,都没有签名和审核链,都防不住藏在自然语言里的毒。代码审计那套手艺,在 markdown 面前失效了。06 打到最后,可能没有输家2026 年走到年中,圈内的共识其实已经成型,混着用。Skills 管流程,什么场景、什么顺序、什么判断;MCP 管实时能力,认证数据源和状态化服务。两边的采用量在同步上涨,没有谁把谁挤下去的迹象。短期的分工也清楚。Skills 赢能力分发,门槛低,跨平台;MCP 赢深度集成,企业数据源没有第二条路。往远一点猜,大概率会出现一种统一的 agent 能力包,一个清单文件同时声明知识文档、工具依赖、权限需求,像手机 App 的安装描述。谁定义这个格式,谁拿平台位。Anthropic 两层都握在手里,位置最好。要是你做产品,这场争论还留了一个现成的指标。能力生态的健康度别数接入了多少工具,去数第三方为你独占开发了多少能力。腾讯地图专门为一个 agent 平台做官方 skills,含金量远高于这个平台能调通 GitHub 的通用接口。回到机场。那位拖工具箱的师傅开始学着精简托运,口袋里揣卡片的乘客也发现,有些活终究得借前者的家伙才能干。下一次在安检口碰面,两个人的行李大概会越来越像。真正的赢家是买票的人。💬 你现在给 agent 用的是 MCP 还是 Skills?踩过哪些坑?评论区聊聊,我每条都看。📌 我整理了一份「400 条工程踩坑 skills 库」的结构模板,公众号后台**回复「MCP」**直接拿。👀 如果这篇帮你把账单算清楚了,点个关注。每周二晚 8 点,我发一篇 AI 实战复盘——不追热点,只讲踩过的坑和算过的账#MCP #AgentSkills #AIAgent #Anthropic #token成本 #生态之争