我们调研了四个AI编程平台的2.5万个Skill,发现Agent生态正在发生这五件事 当 Claude Code 生态集结 21,699 个 Skill、ClawHub 经历 2,419 个恶意 Skill 大清洗、GitHub Copilot 通过 361 个社区贡献打磨出 mm 的 MCP 生成器AI 编程工具正从指令执行走向技能编排。我们花了一周翻了四个平台的每一个公开 Skill以下是结论。1. 为什么现在聊Skill先对齐概念这不是教你写 prompt。AI Skill 是一种全新的软件制品形态——它不是代码库不是 lib不是 plugin而是一个定义了Agent 在特定场景下应该如何操作的结构化文件。核心格式是SKILL.md带 frontmatter 元数据 Markdown 操作指令 可选 scripts/存放于.claude/plugins/、$CODEX_HOME/skills或.github/copilot/。一个 Skill 包含三个要素何时触发trigger/context、如何执行steps/rules、交付什么output/artifact。与传统的 plugin 或 API 不同Skill 面向的是 Agent 的决策过程而非程序调用——它改变的不是函数签名而是Agent 在面对请帮我修复CI这条指令时应该先检查什么、再尝试什么、最后输出什么。本次调研覆盖了四个平台平台生态规模官方入口vibe coding 占比Claude Code21,699 skills / 2,500 marketplacesanthropics/skills(111.4k★)~80%GitHub Copilot361 skills / 217 agentsgithub/awesome-copilot~92%OpenClaw/ClawHub3,286 skills清洗后claw-hub.netnpm for AI agents~43%Codex (OpenAI)9 官方 ~50 社区openai/plugins刚完成迁移~78%⚠️概念澄清OpenClaw/ClawHub 是独立开源项目157K GitHub stars与字节跳动 Coze/扣子无直接关联。此前流传的OpenClaw 是 Coze 代号属误传。2. 五大趋势从单点提效到工程方法论替代趋势一MCP Server Builder 化——Agent 的能力打包出口MCPModel Context Protocol从 2025 年的新协议变成了 2026 年 vibe coding 生态最重要的横向扩展点。GitHub Copilot 单一仓库内有6 门语言的 MCP Server Generator覆盖 Python、Java、Rust、Swift、TypeScript、.NET。Anthropic 官方也发布了mcp-builderSkill提供评估不同 harness 的自动检测。这不是偶然。当 Agent 需要操作数据库、调用第三方 API、读取企业系统——每个外部集成都是一个潜在的 MCP Server。把 MCP Server 的创建本身也打包成一个 Skill意味着 Agent 生态有了自生成连接器的元能力。趋势二全链路 SDLC Skills——从 Plan 到 Ship 一条指令搞定这是本次调研最震撼的发现。obraJesse Vincent在 2025 年 10 月发布了obra/superpowers首次将完整软件工程方法论打包为 14 个协同 Skillsbrainstorm → writing-plans → executing-plans → TDD → requesting-code-review → ship这串 Skill 不是独立工作的它们知道彼此的存在——TDD Skill 会在代码写完后自动等待 review 触发review Skill 会在通过后自动触发 ship 流程。这不是辅助编程而是把完整的软件工程流水线变成了一个可编排的 Skill 链。addyosmaniGoogle Chrome DevTools 工程师在此基础上扩展了 24 个 Skills覆盖 DEFINE → PLAN → BUILD → VERIFY → REVIEW → SHIP 六阶段配 8 个 slash commands/spec/plan/build/test/review/ship把软件工程方法变成了Agent 可执行的工作流。趋势三代码库理解与有序迁移——从新建代码到消化存量Codex 生态的codebase-reconSkill 是一个典型代表它通过 git history 分析自动识别代码库的 hotspots高频变更区域、bug magnets缺陷聚类、bus factor单点知识风险然后输出一份结构化报告。另一个codebase-migrate则能在 CI 验证的保护下对多文件进行大规模并行重构。GitHub Copilot 侧也有Acquire Codebase Knowledge和Generate Custom Instructions From Codebase自动从存量项目中提取副本编码知识库。Claude Code 侧 mattpocock 的improve-codebase-architecture203.2K installs则是代码审查界的灵魂拷问器。这一趋势说明 AI 编码的重心正从帮你写新代码转向帮你理解和改造已有代码库——这才是企业级 AI 编程真正的价值高地。趋势四Security as Skill——安全从审计后置变成开发前置传统安全是写完代码→跑扫描→出报告→修问题一个后置的线性流程。但在 vibe coding 生态中安全正在变成 SkillGitHub CopilotSecurity Review、Threat Model Analyst、Github Actions Hardening、Secret Scanning、Agent Owasp Compliance、Mcp Security Audit、GDPR Compliant等 8 个独立 SkillClaude Codeaddyosmani 的security-and-hardening覆盖 OWASP Top 10ClawHub 引入 VirusTotal 扫描 3 reports auto-hide 机制2026-02 ClawHavoc 事件后安全不再是代码写完后的事而是Agent 写代码过程中自动执行的 Skill。这意味着安全规则可以跟代码一起版本化、分发、更新。趋势五Meta Skills——发现 Skill 的 Skill正在产品化vercel-labs 的find-skills单项获1.8M installs是所有平台中安装量最高的个体 Skill。它做的事情很简单帮 Agent 发现并动态安装其他 Skill。但这代表了一个更深层的变化元能力层meta skills正在快速产品化。ClawHub 的 Capability Evolver35,581 下载排行 #1实现了 AI 能力的自演进——Agent 可以动态发现、评测、安装、组合新的 Skills。Anthropic 官方的skill-creator248.6K installs则让创建 Skill 本身也变成了一个 Skill。这个闭环是find skills → create skills → evolve skills。当一个 Agent 可以自主从市场中发现适合自己的 Skill、自主创建新的 Skill、自主升级已有 SkillAgent 就从工具使用者变成了工具创造者。3. Claude Code 的生态碾压21,699 Skill断层式领先四个平台中Claude Code 的 Skill 生态是断层式领先的。2,500 marketplaces、21,699 个 Skill头部的集中度也极高创作者Skills 数代表性 Skillinstallsvercel-labs≥6find-skills1.8M、agent-browser337Kmicrosoft/azure-skills8microsoft-foundry364.2K、appinsights-instrumentation361Kobra/superpowers14brainstorming197.2K、systematic-debugging124.6Kmattpocock4grill-me250.9K、improve-codebase-architecture203.2Kaddyosmani24spec-driven-development、code-review-and-qualitywshobson158单仓最大规模6 harness 一源多译Anthropic 官方17frontend-design493.2K installs 全站 #2wshobson 的agents仓库尤其值得关注——158 skills / 194 agents / 88 plugins一份 SKILL.md 同时支持 Claude Code、Codex CLI、Cursor、OpenCode、Gemini CLI、GitHub Copilot 六大 harness。这说明 SKILL.md 已经实质上成为跨平台的通用 Agent 技能描述格式。与此同时ClawHub 的ClawHavoc 事件也值得警惕2026 年 2 月注册表从 5,705 个 Skills 强制清理至 3,286 个下架 2,419 个恶意/可疑 Skills随后引入 VirusTotal 扫描机制。这是 AI Skill 生态的第一次大规模安全事件但不是最后一次。当一个 Skill 可以读你的文件系统、调你的 API、操作你的 Git 仓库安装即信任的模式不可持续。4. 启示Skill 正在成为新的npm回到开篇的问题Skill 是什么答案是Skill 是 AI Agent 的 npm 包。就像 2010 年的 npm 让 JavaScript 开发者从手写每一个依赖变成install 即用Skill 正在让 AI 编程从每次都从零写 prompt变成加载一个 Skill 即具备某种专业能力。MCP Server Builder、代码审查、CI/CD Pipeline、安全扫描——这些不再是AI 能不能做而是有没有对应的 Skill 让我加载。但有一个本质区别npm 包是给开发者用的Skill 是给 Agent 用的。这意味着 Skill 的设计范式完全不同——它不是暴露 API 让程序员调用而是定义行为让 Agent 执行。Skill 的设计面向的是文本推理链不是函数调用链。这对所有 AI 编程工具的启示是清晰的Skill 市场正在形成网络效应Claude Code 的 21,699 个 Skill 一旦形成惯性其他平台要追赶将越来越难。Skill 越多→Agent 能力越强→用户越多→Skill 越多。跨平台能力是关键竞争维度wshobson 的一次编写、六大 harness 运行证明了 SKILL.md 的跨平台潜力。锁定单一平台正在失去吸引力。安全与治理不可忽视ClawHavoc 事件是警钟。Skill 生态的规模越大安全审查的组织级需求就越迫切。调研完成于 2026 年 7 月 1 日完整 173 条 Skill 明细表、分类矩阵和 20 条一手源证据链见配套报告。