收藏！小白程序员必看：解锁AI Agent灵魂——Skill，让AI助手更懂你！

AI绘画哇哒哒

407人浏览 · 2026-03-26 13:53:29

AI绘画哇哒哒 · 2026-03-26 13:53:29 发布

如果你用 AI Agent（不管是 Claude Code 还是 OpenClaw），却不知道 Skill 是什么–那你可能正在用一把瑞士军刀，却只用了开瓶器。

一个判断先放在这里：Skill 才是 AI Agent 的灵魂。没有之一。

你可能觉得这话说得有点满。让我解释一下。

用过 AI 编程助手的人，大概都有过一个同样的困扰：每次新会话，都要花大量时间告诉它"我们项目用什么框架"“代码注释要用中文”“部署前必须跑哪些检查”……说白了，每次都是重复劳动。

Skill 解决的就是这个问题。

它把那些"每次都要说一遍"的指令，变成一套可以自动加载、可复用、可分享的操作手册。AI 遇到对应任务，自己就知道该调用哪个 Skill、自己该做什么、该用什么工具。

这听起来简单–但它彻底改变了 AI Agent 的使用方式：从"每次都要手把手教"，变成了"训练一次，长期生效"。

2025 年 10 月，Anthropic 正式发布 Claude Skills 规范，随后 OpenAI Codex、Google Gemini CLI、GitHub Copilot、Cursor、JetBrains Junie 等 30+ 平台纷纷跟进。Skill 已经成为 AI Agent 领域的标配。

今天这篇，不讲虚的。我会从原理出发，对比主流平台，说清楚怎么写好一个 Skill，最后也聊聊安全风险–毕竟，这玩意儿有多强大，滥用起来就有多危险。

📌 本文目录
▷ 一、为什么你的 AI Agent 总是不够好用？
▷ 二、AI Agent Skills 到底是什么？
▷ 三、Skills 是怎么工作的？
▷ 四、主流平台 Skills 一文对比
▷ 五、如何打造一个真正好用的 Skill？
▷ 六、安全风险：Skills 时代的供应链攻击
▷ 最终判断

一、为什么你的 AI Agent 总是不够好用？

你有没有过这种经历：每次新建一个 AI 编程会话，都要从头解释一遍项目规范–用什么测试框架、代码注释用什么语言、部署流程是什么。

说了三遍之后，AI 依然可能在第四次对话里"失忆"。

这不是 AI 不够聪明。而是你的指令没有被持久化。

你每次说的那些要求，存在于这一次的对话里，下一次对话就消失了。除非–你把它们写成 Skill。

Skill 把"每次都要重复的指令"变成一份长期生效的操作手册。AI 会自己判断什么时候该用、什么时候不该用。你只需要告诉它一次，之后它自己记得。

这听起来简单，但它把 AI Agent 从"工具"变成了真正的"助手"–区别在于，工具每次都要你操作，助手知道什么时候该主动做什么。

二、AI Agent Skills 到底是什么？

如果你用过 Claude Code 或者 OpenClaw，你大概率见过 Skill 这个概念，但可能没有系统了解过。

说白了，Skill 就是 AI 的"操作手册"。

把它想象成厨房里的一份菜谱。菜谱告诉你：什么时候该放盐、用什么火候、哪一步最关键。Skill 的作用一模一样–它告诉 AI：遇到这类任务该用什么步骤、该调用哪个工具、该输出什么格式。

一个 Skill 的核心是 SKILL.md 文件，里面分两部分：

YAML 头信息（元数据）：

• name：技能名称，比如 deploy-staging
• description：描述，用来让 AI 判断什么时候该激活这个 Skill–这部分最关键

Markdown 正文（操作指令）：

• 什么情况下用这个 Skill
• 具体操作步骤是什么
• 边界在哪里（哪些情况不该用它）

Skill 目录里还可以放 scripts/（辅助脚本）、references/（参考资料）、assets/（资源文件）。整个文件夹，就是一个可以安装、使用、分享的完整技能包。

三、Skills 是怎么工作的？

这里有个关键的设计思想，叫渐进式披露（Progressive Disclosure）。

如果 AI 一启动就把所有 Skill 的内容全部加载进上下文，20 个 Skill 可能直接撑爆 token 限额。所以主流平台都采用三层架构：

第一层：Catalog（目录层）
Session 启动时，AI 只看到每个 Skill 的名字和描述–两条信息，轻量级。这是"货架"，AI 先知道所有商品的存在。

第二层：Activate（激活层）
当 AI 判断某个用户请求匹配某个 Skill 的描述时，把完整的 SKILL.md 正文加载进来。这是"拿起商品看详情"。

第三层：Execute（执行层）
只有当 Skill 指令里明确引用了某个脚本或参考资料时，才去加载对应的文件，按需读取。

这意味着：不管你装了多少个 Skill，实际每次只消耗 1-2 个 Skill 的 token 成本。既享受了更多能力，又没有性能惩罚。

另外，大多数 Skill 系统支持"隐式激活"——你不需要专门说"我要用这个 Skill"，AI 自动根据你的任务描述匹配最合适的技能。这才是真正的"无缝"体验。

四、主流平台 Skills 一文对比

Skill 已经成为行业标准，但各大平台的实现细节各有不同。

Claude Code（Anthropic）

Claude Code 的 Skill 放在项目 .claude/skills/ 或用户级 ~/.claude/skills/ 目录。支持 slash 命令激活（比如 /deploy），也可以描述匹配自动触发。特色是支持扩展 frontmatter，可以声明 allowed-tools（白名单工具）、model（指定模型）、disable-model-invocation 等参数，功能最丰富。

OpenAI Codex

Codex 扫描 .agents/skills/ 目录，从当前目录向上遍历到仓库根目录。这意味着 monorepo 可以在根目录放全局 Skill，在子项目放专用 Skill。隐式激活和显式 $skill-name 激活都支持。特色是有 agents/openai.yaml 侧边文件，可以声明 UI 元数据和 MCP 工具依赖。

OpenClaw

OpenClaw 的 Skill 系统有独特的几个设计：加载时 gating（可以声明必须满足的前提条件，比如"需要 docker"或"需要某个环境变量"，不满足就不显示），ClawHub 公共注册平台（类似 npm），以及三级优先级（workspace Skill > managed Skill > bundled Skill）。

另外，OpenClaw 支持环境变量注入–Skill 执行时可以临时注入 API Key，执行完毕后恢复，安全风险更低。

一个关键趋势：30+ 平台已采用 Anthropic 主导的 Agent Skills 开放规范（agentskills.io），格式高度兼容。一个写好的 Skill，在 Claude Code、Codex、OpenClaw、Gemini CLI、Cursor、JetBrains Junie 等平台之间可以直接复用，不需要改写。

五、如何打造一个真正好用的 Skill？

写 Skill 有个根本心态要扭转：这是写给 AI 看的，不是写给人看的文档。

具体来说，有几个实打实的经验：

描述要像搜索词，而不是功能介绍。

❌ 弱描述：“这个 Skill 用于执行代码审查并提供优化建议。”
✅ 强描述：“运行测试套件，检查代码规范，输出审查报告。用户说’跑测试’、‘检查代码’、'CI 过没过’时激活。”

描述是 AI 判断"要不要用这个 Skill"的唯一依据，要像真实用户会说的话，不要像产品文档。

加上负面触发，防止误激活。

好的 Skill 不仅说"什么时候用"，还要说"什么时候不用"。


Do NOT use when:

- 用户只是问测试覆盖率

- 用户要求写新测试而不是运行现有测试

没有负面触发，AI 可能遇到稍微沾边的问题就激活 Skill，反而帮倒忙。

Skill 正文控制在 5000 tokens 以内。

太长会让 AI 难以聚焦重点，而且消耗更多上下文。把详细参考资料放到 references/ 目录，正文只写"参考 references/xxx.md"，按需加载。

脚本要为非交互式使用设计。

如果 Skill 包含脚本，它应该是：接受命令行参数（不等待用户输入）、有 --help、输出结构化数据（JSON）、返回明确的错误码。这是"给 AI 用的工具"，不是给人类用的交互式脚本。

从一个小 Skill 开始迭代。

不需要上来就设计复杂的多步流程。一个"帮我跑测试"或"部署到 staging"的 5 步 Skill，价值远超一个写了 50 步但用不上的"大型技能包"。

六、安全风险：Skills 时代的供应链攻击

这是大多数文章不会认真讲的部分，但必须说。

Skill 是个强大的东西–强大，意味着它被滥用时的破坏力也很大。

一个恶意 Skill 可以：

• 通过 prompt injection 盗取你的文件内容发送到外部服务器
• 执行任意代码（通过内置脚本）
• 消耗你的 token 配额（学术界称之为"Clawdrain 攻击"）
• 绕过工具限制，诱导 AI 用命令行代替受限工具

真实事件已经发生。

安全公司 1Password 分析了 OpenClaw 生态，发现恶意 Skill 可以在有权限的 AI Agent 里横向移动，访问它原本不应该接触的系统。VirusTotal Code Insight 已分析超过 3000 个 OpenClaw Skill，发现数百个具有恶意特征。ClawHub 作为最大的公共 Skill 市场，目前已知存在伪装成正常 Skill 的恶意程序。

所以，用 Skill 前的安全清单：

✅ 安装前通读 SKILL.md 和所有内置脚本
✅ 优先使用经过社区验证的 Skill，关注作者和 Stars
✅ 使用 allowed-tools（如果平台支持）限制 Skill 能调用的工具
✅ 在隔离环境测试新 Skill，确认行为符合预期再上生产
✅ 定期审查已安装的 Skill，不用的及时卸载

Skill 就是代码。代码需要 review，Skill 也是。