一、七大开放性挑战

1.跨平台可移植性：虽然 Skills 标准已被各平台采纳，但各平台的实现差异（如脚本执行环境、工具调用方式）仍带来兼容性挑战。同样的 Skill 在不同平台上可能有不同表现。

2.能力基础权限模型：从粗粒度的“信任/不信任”二分法，演进为精细化的能力声明和验证系统。这是 Skills 安全的基础设施级需求。

3.Skill 可信度评估：如何客观、自动化地评估一个 Skill 的质量和可信度？目前的“安装量”“星标数”等指标容易被操纵。SkillTester 和 SkillsBench 是重要的第一步，但距离成熟的信用体系还有距离。

4.组合安全分析：单个 Skill 安全不等于组合安全。多个 Skills 同时激活可能产生意外的交互效应，这类安全问题需要专门的研究。

5.Skill 生命周期管理：版本控制、废弃通知、迁移路径。当某个 Skill 被废弃或有安全漏洞时，如何确保所有使用者都能及时获知并更新？

6.自主 Skill 发现与选择：随着 Skills 数量爆炸式增长，Agent 如何在海量 Skills 中自动评估并选择最优的 Skill 组合？这需要比简单的语义匹配更智能的推荐机制。

7.人机协作编排：专家与 AI Skills 在复杂工作流中的无缝协作。如何设计交互模式让人和 Agent 在同一个工作流中高效协同，而不是互相干扰？

二、技术演进方向

Skills 自主生成与进化

Google ADK 已展示 Agent“自主编写新 Skill”的早期能力。这个方向的愿景是：Agent 在环境中试错 → 策略形成 → 元 Skill 自动提炼 → 新 Skill 诞生。

但 SkillsBench 的研究发出了重要警告：自生成 Skills 在整体上未带来任何显著收益，当前模型尚不具备可靠地自主编写其所依赖的程序性知识的能力。这意味着“Skill 自主进化”仍处于非常早期的探索阶段。

多 Skills 智能编排

从单 Skill 调用演进为复杂工作流自动化。Agent 将能够像指挥乐队一样协调多个 Skills 协同工作，处理跨领域的复杂任务。这需要更强大的编排引擎和任务分解能力。

跨模态 Skills

当前 Skills 主要处理文本、代码和结构化文档。未来的 Skills 将支持图像识别、音频处理、视频编辑等多模态能力。例如，一个“视频剪辑 Skill”可以自动理解视频内容、提取精彩片段、添加字幕和特效。

自修复与 A/B 实验

基于 Evals 与在线反馈自动优化 Skill 结构。Anthropic 为 skill-creator 新增的测试框架正是这个方向的早期实践——可以写 evals、跑基准测试、A/B 对比两个版本的 Skill。未来，Skills 将具备自我优化的能力：根据使用数据自动调整指令、精简冗余内容、改进工作流。

模型能力提升与 Skill 粒度变化

随着模型本身能力越来越强，一些微小的 Skill（如“如何格式化日期”）可能被模型内化，不再需要显式封装。但高价值、高风险、高复杂度的流程性知识将继续以 Skill 形式存在，且粒度可能变得更细、更专业。

三、生态

多平台“一 Skill 多用” ：随着标准成熟，同一个 Skill 包将在不同平台上获得一致的行为表现。这会催生一个繁荣的第三方 Skill 开发生态，类似 npm 对 Node.js 生态的推动作用。

Skills Marketplace 商业化：

安全审核服务：第三方机构对 Skills 进行安全认证

企业 Skill 商店：企业内部的私有 Skill 市场

付费 Skill 生态：高质量的垂直行业 Skills（医疗、法律、金融）形成付费市场

订阅制 Skill 服务：按使用量或时间段收费

垂直行业 Skills 专业化：医疗、法律、金融、工业、教育等行业的专业知识将通过 Skills 形式被系统化封装和分发。SkillsBench 的数据显示，医疗健康领域的 Skill 收益高达+51.9pp，远超软件工程的+4.5pp——这说明垂直行业的专业知识缺口最大，Skills 的价值也最大。

四、人机协作的长期展望

“能力资产”成为新型护城河：对企业而言，最宝贵的资产将不再是代码库或数据，而是精心打磨的 Skills 集合——这些 Skills 凝聚了企业数十年的行业经验和最佳实践，是竞争对手难以复制的核心能力。

AI 工程师的角色进化：从 Prompt 工程师到 Skill 架构师。2026 年的开发者不再是“写代码的人”，而是编排 AI Agent 完成任务的“指挥官”。技能要求从“会写代码”转变为“会设计工作流、会评估 AI 输出、会编排多 Agent 协作”。

知识工作的结构性重塑：当 AI 能够执行越来越多知识工作时，人类的工作重心将从“执行”转向“定义”——定义什么是好的输出、定义工作应该怎么完成、定义质量和标准。Skills 正是这种“定义”的载体。

新职业形态：

Skill 架构师：设计企业 Skill 体系和工作流

AI Agent 编排师：协调多个 Agent 和 Skills 完成复杂任务

Skill 安全审计员：专门审查 Skills 的安全性和合规性

垂直行业 Skill 工程师：将行业专业知识转化为 Skills

Agent Skills 标志着 AI 能力从“手工打造”走向“工业化生产”——我们不再需要为每个任务从头构建 Agent，而是像搭乐高一样组合现成的 Skills 模块。这种“能力标准化”将大幅降低 AI 应用的门槛，推动 AI 从“少数人的专业工具”走向“大众的日常生产力”。

五、行动建议

对开发者：

1.立即学习 Skills 标准，开始将重复性工作封装为 Skills

2.优先使用官方和经过安全审核的 Skills，谨慎安装来源不明的第三方 Skills

3.建立个人/团队 Skills 仓库，用 Git 进行版本管理

4.使用 skill-creator 和 Evals 工具迭代优化 Skills

5.参与社区贡献，分享高质量的 Skills

对企业：

1.启动“能力资产化”战略——将内部 SOP、最佳实践、行业 know-how 系统化封装为 Skills

2.建立企业私有 Skills 仓库，实现跨团队知识共享

3.制定 Skills 安全政策——只允许安装经过安全审核的 Skills，强制沙箱执行

4.培养 Skill 架构师和 AI Agent 编排师等新角色

5.关注垂直行业 Skills 的商业化机会——既是内部工具，也可成为对外产品

对生态建设者：

1.推动 Skills 安全标准的建立——代码签名、沙箱执行、漏洞数据库

2.开发更好的 Skills 发现和评测工具

3.构建垂直行业的 Skills 生态（医疗、法律、金融等）

4.警惕“技能萎缩”——在推广 Skills 的同时，保持人类的专业判断和监督能力

OpenClaw 这类基于 Skills 能力单元构建的 Agent 助手，通常需要调用本地 Shell、文件系统 API 甚至浏览器控制权来执行任务。若其运行的模型被提示词注入攻击诱导执行恶意指令，攻击者可直接获得当前登录用户的完整桌面权限，进而窃取 SSH 私钥、修改系统配置或植入持久化后门。

本地工作机通常混存个人隐私文件（照片、密码本）与公司源代码。本地部署的 AI 服务往往为了便利会挂载全盘索引，一旦 AI 产生幻觉或遭遇中间人攻击，敏感数据极易意外流出。

云端容器或虚拟机仅挂载指定的数据卷，即便 Agent 被越权控制，破坏范围也局限在隔离的容器内，无法触及本地电脑的硬件控制权或私钥环。本地隐私数据也不会泄露，而且可 24 小时在线运行。发现安全漏洞后，可直接销毁当前实例并从安全镜像重建，恢复时间极短，对学习、了解或尝试开发 AI Agent 友好，而本地机器修复恶意软件可能需要全盘重装。

对于有开发需求的团队或个人，算泥社区平台通过整合国产异构算⼒资源，为开发者提供了经济⾼效的算⼒选择。

以上内容为《2026 Agent Skills技术与安全白皮书》的部分内容节选，完整版白皮书请扫描下方二维码下载。