我们调研了四个AI编程平台的2.5万个Skill,发现Agent生态正在发生这五件事
当 Claude Code 生态集结 21,699 个 Skill、ClawHub 经历 2,419 个恶意 Skill 大清洗、GitHub Copilot 通过 361 个社区贡献打磨出 mm 的 MCP 生成器,AI 编程工具正从"指令执行"走向"技能编排"。我们花了一周,翻了四个平台的每一个公开 Skill,以下是结论。
1. 为什么现在聊"Skill"?先对齐概念
这不是教你写 prompt。AI Skill 是一种全新的软件制品形态——它不是代码库,不是 lib,不是 plugin,而是一个定义了"Agent 在特定场景下应该如何操作"的结构化文件。核心格式是SKILL.md(带 frontmatter 元数据 + Markdown 操作指令 + 可选 scripts/),存放于.claude/plugins/、$CODEX_HOME/skills或.github/copilot/。
一个 Skill 包含三个要素:何时触发(trigger/context)、如何执行(steps/rules)、交付什么(output/artifact)。与传统的 plugin 或 API 不同,Skill 面向的是 Agent 的决策过程而非程序调用——它改变的不是"函数签名",而是"Agent 在面对请帮我修复CI这条指令时,应该先检查什么、再尝试什么、最后输出什么"。
本次调研覆盖了四个平台:
| 平台 | 生态规模 | 官方入口 | vibe coding 占比 |
|---|---|---|---|
| Claude Code | 21,699 skills / 2,500+ marketplaces | anthropics/skills(111.4k★) | ~80% |
| GitHub Copilot | 361 skills / 217 agents | github/awesome-copilot | ~92% |
| OpenClaw/ClawHub | 3,286 skills(清洗后) | claw-hub.net(npm for AI agents) | ~43% |
| Codex (OpenAI) | 9 官方 + ~50 社区 | openai/plugins(刚完成迁移) | ~78% |
⚠️概念澄清:OpenClaw/ClawHub 是独立开源项目(157K+ GitHub stars),与字节跳动 Coze/扣子无直接关联。此前流传的"OpenClaw 是 Coze 代号"属误传。
2. 五大趋势:从单点提效到工程方法论替代
趋势一:MCP Server Builder 化——Agent 的能力打包出口
MCP(Model Context Protocol)从 2025 年的"新协议"变成了 2026 年 vibe coding 生态最重要的横向扩展点。GitHub Copilot 单一仓库内有6 门语言的 MCP Server Generator,覆盖 Python、Java、Rust、Swift、TypeScript、.NET。Anthropic 官方也发布了mcp-builderSkill,提供评估不同 harness 的自动检测。
这不是偶然。当 Agent 需要操作数据库、调用第三方 API、读取企业系统——每个"外部集成"都是一个潜在的 MCP Server。把 MCP Server 的创建本身也打包成一个 Skill,意味着 Agent 生态有了"自生成连接器"的元能力。
趋势二:全链路 SDLC Skills——从 Plan 到 Ship 一条指令搞定
这是本次调研最震撼的发现。obra(Jesse Vincent)在 2025 年 10 月发布了obra/superpowers,首次将完整软件工程方法论打包为 14 个协同 Skills:
brainstorm → writing-plans → executing-plans → TDD → requesting-code-review → ship这串 Skill 不是独立工作的,它们知道彼此的存在——TDD Skill 会在代码写完后自动等待 review 触发,review Skill 会在通过后自动触发 ship 流程。这不是"辅助编程",而是把完整的软件工程流水线变成了一个可编排的 Skill 链。
addyosmani(Google Chrome DevTools 工程师)在此基础上扩展了 24 个 Skills,覆盖 DEFINE → PLAN → BUILD → VERIFY → REVIEW → SHIP 六阶段,配 8 个 slash commands(/spec/plan/build/test/review/ship),把"软件工程方法"变成了"Agent 可执行的工作流"。
趋势三:代码库理解与有序迁移——从"新建代码"到"消化存量"
Codex 生态的codebase-reconSkill 是一个典型代表:它通过 git history 分析,自动识别代码库的 hotspots(高频变更区域)、bug magnets(缺陷聚类)、bus factor(单点知识风险),然后输出一份结构化报告。另一个codebase-migrate则能在 CI 验证的保护下,对多文件进行大规模并行重构。
GitHub Copilot 侧也有Acquire Codebase Knowledge和Generate Custom Instructions From Codebase,自动从存量项目中提取副本编码知识库。Claude Code 侧 mattpocock 的improve-codebase-architecture(203.2K installs)则是代码审查界的"灵魂拷问器"。
这一趋势说明 AI 编码的重心正从"帮你写新代码"转向"帮你理解和改造已有代码库"——这才是企业级 AI 编程真正的价值高地。
趋势四:Security as Skill——安全从审计后置变成开发前置
传统安全是"写完代码→跑扫描→出报告→修问题",一个后置的线性流程。但在 vibe coding 生态中,安全正在变成 Skill:
- GitHub Copilot:
Security Review、Threat Model Analyst、Github Actions Hardening、Secret Scanning、Agent Owasp Compliance、Mcp Security Audit、GDPR Compliant等 8+ 个独立 Skill - Claude Code:addyosmani 的
security-and-hardening覆盖 OWASP Top 10 - ClawHub 引入 VirusTotal 扫描 + 3+ reports auto-hide 机制(2026-02 ClawHavoc 事件后)
安全不再是"代码写完后的事",而是"Agent 写代码过程中自动执行的 Skill"。这意味着安全规则可以跟代码一起版本化、分发、更新。
趋势五:Meta Skills——"发现 Skill 的 Skill"正在产品化
vercel-labs 的find-skills单项获1.8M installs,是所有平台中安装量最高的个体 Skill。它做的事情很简单:帮 Agent 发现并动态安装其他 Skill。
但这代表了一个更深层的变化:元能力层(meta skills)正在快速产品化。ClawHub 的 Capability Evolver(35,581 下载,排行 #1)实现了 AI 能力的自演进——Agent 可以动态发现、评测、安装、组合新的 Skills。Anthropic 官方的skill-creator(248.6K installs)则让"创建 Skill 本身"也变成了一个 Skill。
这个闭环是:find skills → create skills → evolve skills。当一个 Agent 可以自主从市场中发现适合自己的 Skill、自主创建新的 Skill、自主升级已有 Skill,Agent 就从"工具使用者"变成了"工具创造者"。
3. Claude Code 的生态碾压:21,699 Skill,断层式领先
四个平台中,Claude Code 的 Skill 生态是断层式领先的。2,500+ marketplaces、21,699 个 Skill,头部的集中度也极高:
| 创作者 | Skills 数 | 代表性 Skill(installs) |
|---|---|---|
| vercel-labs | ≥6 | find-skills1.8M、agent-browser337K |
| microsoft/azure-skills | 8+ | microsoft-foundry364.2K、appinsights-instrumentation361K |
| obra/superpowers | 14 | brainstorming197.2K、systematic-debugging124.6K |
| mattpocock | 4 | grill-me250.9K、improve-codebase-architecture203.2K |
| addyosmani | 24 | spec-driven-development、code-review-and-quality |
| wshobson | 158 | 单仓最大规模,6 harness 一源多译 |
| Anthropic 官方 | 17 | frontend-design493.2K installs 全站 #2 |
wshobson 的agents仓库尤其值得关注——158 skills / 194 agents / 88 plugins,一份 SKILL.md 同时支持 Claude Code、Codex CLI、Cursor、OpenCode、Gemini CLI、GitHub Copilot 六大 harness。这说明 SKILL.md 已经实质上成为跨平台的通用 Agent 技能描述格式。
与此同时,ClawHub 的ClawHavoc 事件也值得警惕:2026 年 2 月,注册表从 5,705 个 Skills 强制清理至 3,286 个(下架 2,419 个恶意/可疑 Skills),随后引入 VirusTotal 扫描机制。这是 AI Skill 生态的第一次大规模安全事件,但不是最后一次。当一个 Skill 可以读你的文件系统、调你的 API、操作你的 Git 仓库,"安装即信任"的模式不可持续。
4. 启示:Skill 正在成为新的"npm"
回到开篇的问题:Skill 是什么?
答案是:Skill 是 AI Agent 的 npm 包。
就像 2010 年的 npm 让 JavaScript 开发者从"手写每一个依赖"变成"install 即用",Skill 正在让 AI 编程从"每次都从零写 prompt"变成"加载一个 Skill 即具备某种专业能力"。MCP Server Builder、代码审查、CI/CD Pipeline、安全扫描——这些不再是"AI 能不能做",而是"有没有对应的 Skill 让我加载"。
但有一个本质区别:npm 包是给开发者用的,Skill 是给 Agent 用的。这意味着 Skill 的设计范式完全不同——它不是暴露 API 让程序员调用,而是定义行为让 Agent 执行。Skill 的设计面向的是文本推理链,不是函数调用链。
这对所有 AI 编程工具的启示是清晰的:
- Skill 市场正在形成网络效应:Claude Code 的 21,699 个 Skill 一旦形成惯性,其他平台要追赶将越来越难。Skill 越多→Agent 能力越强→用户越多→Skill 越多。
- 跨平台能力是关键竞争维度:wshobson 的"一次编写、六大 harness 运行"证明了 SKILL.md 的跨平台潜力。锁定单一平台正在失去吸引力。
- 安全与治理不可忽视:ClawHavoc 事件是警钟。Skill 生态的规模越大,安全审查的组织级需求就越迫切。
调研完成于 2026 年 7 月 1 日,完整 173 条 Skill 明细表、分类矩阵和 20 条一手源证据链见配套报告。
