今天 GitHub trending 一眼扫过去,三个中文 Agent Skills 仓库一起冒头:卡兹克的自用合集、taste-skill、nature-skills。Skills 这东西 12 月刚被 Anthropic 推成开放标准,中文圈反应是真快。
但我得说个不那么好听的。
Skills 的机制本质是【prompt 注入 + 工具权限改写】,Claude Code 会从 .claude/skills、项目目录、插件、嵌套子目录这一堆地方自动加载。最关键的坑:SKILL.md 里的动态上下文语法(! 开头那种)是在模型看到 skill 内容之前就执行的。
翻译成人话:你 git clone 一个看起来人畜无害的项目,里面藏一个 .claude/skills,你都没说"用这个 skill",命令已经在你机器上跑过一遍了。
🔍 已经有安全团队跑了大规模扫描,从社区注册表里验出 150+ 恶意 skill,主流玩法两类:偷凭据的(Data Thieves)和劫持 agent 决策的(Agent Hijackers)。供应链攻击面比 npm 还薄,因为 npm 你至少得 install,skill 你 clone 就完事。
💡 我的态度不是别用——Skills 比 MCP 轻、比 system prompt 灵活,确实是好东西。但现在生态处于"人人开源自己的 skill 合集,装一下试试"的草莽期,跟早年随便 curl | bash 一样的味道。
建议:装别人 skill 之前,把 SKILL.md 打开扫一眼,重点看 ! 开头的行和 allowed-tools 字段。两分钟的事,能省掉一次 .ssh 被翻的尴尬。 GitHub: KKKKhazix/khazix-skills
