Acaparó 24,000 estrellas: con un solo comando, la IA ya puede buscar habilidades por sí misma

marsbitPublicado a 2026-07-06Actualizado a 2026-07-06

Resumen

## Resumen en español de Europa (Menos de 1500 caracteres) La herramienta `skills` de Vercel, un administrador de paquetes para agentes de IA que alcanzó 24,000 estrellas en GitHub en 5 meses, está transformando la programación con IA. Permite instalar "paquetes de habilidades" específicos (como mejores prácticas de React o reglas de diseño) en agentes como Claude Code o Cursor con un simple comando `npx skills add <paquete>`. Estos paquetes, que contienen instrucciones y scripts, permiten que la IA aprenda y aplique permanentemente el conocimiento contextual de un proyecto, pasando de la ingeniería de prompts a la "ingeniería de capacidades". La característica más futurista es `find-skills`, una habilidad que permite al agente buscar e instalar automáticamente el paquete necesario según la tarea del usuario, actuando como un motor de búsqueda de capacidades para IA. Sin embargo, este ecosistema emergente plantea graves riesgos de seguridad. Estudios como "ToxicSkills" de Snyk revelan que más del 30% de los paquetes auditados presentan defectos, incluyendo malware, inyección de prompts y robo de claves. A diferencia de npm, los "skills" combinan código, instrucciones naturales y acceso directo al sistema, amplificando el potencial de daño. Se recomienda verificar minuciosamente la fuente y los permisos de cada paquete antes de instalarlo. En esencia, Vercel repite su fórmula de éxito: simplificar procesos complejos (esta vez en la capa de los agentes de IA) en un solo com...

Antes, lo que intercambiaban los desarrolladores eran plantillas de prompts.

Ahora, la tendencia ha cambiado. Lo que todos se preguntan es qué habilidad (skill) deberías instalar.

Detrás de esto, hay un cambio aún mayor: las herramientas de programación con IA han empezado a "instalar paquetes".

El 17 de enero de este año por la mañana, Guillermo Rauch, fundador y CEO de Vercel, publicó un tuit en X: Estamos lanzando skills – el "npm" para las habilidades de IA.

Por "npm" se refiere a ese gestor de paquetes que los ingenieros frontend usan a diario, con el que un solo comando puede instalar en tu proyecto lo que otros ya han escrito.

La implicación de Rauch es que esta experiencia de "instalar el trabajo de otros con una sola línea de comandos" ahora va a llegar a la IA.

"El padre de la langosta", Peter Steinberger, respondió de inmediato: "¡Genial! Necesita sincronizarse con ClawHub."

ClawHub es un mercado de habilidades para otro ecosistema de agentes inteligentes, no es propiedad de Vercel. Sin embargo, la primera reacción de Peter fue "sincronizar".

Tres días después, Vercel lo anunció oficialmente en su registro de actualizaciones: una herramienta de línea de comandos para instalar y gestionar paquetes de capacidades para agentes inteligentes.

Este repositorio oficial, vercel-labs/skills, alcanzó 24,000 estrellas en GitHub en solo cinco meses desde su lanzamiento.

¿Por qué es tan popular? Es simple, solo requiere un comando:

npx skills add .

Básicamente, es un gestor de paquetes para agentes inteligentes de IA.

Es como el npm que los ingenieros frontend usan a diario: un comando instala lo que otros ya han escrito en tu proyecto, solo que esta vez no instala bibliotecas de código, sino "capacidades".

Lo más increíble es que no depende de la herramienta. Claude Code, Cursor, Codex, Gemini CLI... Los agentes inteligentes oficialmente soportados ya superan los 68. Un mismo paquete de capacidades puede ejecutarse en cualquiera de estas herramientas.

Vercel también ha lanzado skills.sh, un directorio de habilidades con un ranking de instalaciones. Puedes ver de un vistazo qué habilidades son populares y cuántas veces se han instalado.

El paquete que encabeza la lista, llamado find-skills, ya alcanzó las 2.3 millones de instalaciones.

Ranking de instalaciones del directorio de habilidades skills.sh. find-skills encabeza la lista con 2.3 millones de instalaciones, seguido por frontend-design, vercel-react-best-practices, etc. (Fuente: skills.sh)

Las capacidades de programación con IA tienen por primera vez un ranking de "descargas populares".

Un solo comando

La IA aprendió un nuevo oficio

Primero, veamos qué hace realmente.

Escribe npx skills add vercel-labs/agent-skills, presiona Enter.

En segundos, tu Claude Code tendrá un conjunto de estándares de ingeniería para React y Next.js, además de una serie de principios de diseño. La próxima vez que escriba código, lo hará automáticamente siguiendo estas reglas.

Este conjunto de cosas se llama oficialmente "paquete de habilidades (skill)". En esencia, es una carpeta cuyo núcleo es un archivo SKILL.md con una cabecera YAML, que especifica dos cosas: qué es esta habilidad y cuándo usarla.

La carpeta también puede contener documentación de referencia, plantillas y un directorio scripts/ dedicado, que contiene scripts ejecutables directamente.

Resuelve un problema muy real.

El modelo entiende los lenguajes de programación y frameworks generales, pero no conoce las "reglas locales" de tu proyecto: el estilo de código, las convenciones de nomenclatura, los problemas que han enfrentado.

Antes, esto solo podía solucionarse repitiéndolo en cada nueva conversación. Ahora, se puede empaquetar en un skill, instalarlo una vez y que sea efectivo a largo plazo.

Después de instalarlo, puedes gestionarlo como un paquete npm: list para ver cuáles están instalados, update para actualizarlos con un clic, remove para eliminarlos.

En el fondo, es un conjunto de normas compartidas. Lo que instalas en Claude Code también funciona en Cursor.

Si incluso instalar te parece tedioso, hay una opción más ligera: no instalar, usarlo directamente.

Con un simple npx skills use, traes la habilidad temporalmente, la conectas por tubería para que la ejecute Claude, y se va después de usarla, sin "ensuciar" ni siquiera el directorio local.

Antes, los límites de la capacidad de la IA dependían de cómo la describieras. Ahora, las capacidades se han convertido en paquetes que se pueden tomar directamente del estante.

La "npmización" de la capa de herramientas de IA

Mucha gente podría considerarlo una nueva funcionalidad de Claude. Pero proviene de Vercel, no es una capacidad nativa de Anthropic.

Claude Code, Cursor, Codex, GitHub Copilot, Windsurf... todos son objetos soportados. skills CLI los integra a todos, ofreciendo una única entrada unificada.

Detrás de esta entrada, está la capa de herramientas de IA empezando a "npmizarse".

Vercel empaqueta estas experiencias dispersas en módulos reutilizables, distribuibles y gestionables por versiones.

Las capacidades de IA están pasando de la "ingeniería de prompts" a la "ingeniería de capacidades (capability engineering)". La primera resuelve "cómo decirlo esta vez", la segunda resuelve "cómo hacer esto siempre en el futuro".

Vercel ya ha jugado esta carta una vez.

En su momento, se posicionó con Next.js en la entrada de despliegue de todo el ecosistema frontend, un lugar por el que los desarrolladores frontend no podían pasar.

Ahora quiere contar la misma historia en la capa de los agentes inteligentes de IA.

Find Skills

La IA tiene por primera vez un "buscador de capacidades"

El toque más futurista es Find Skills, una "habilidad para encontrar habilidades".

Definición oficial de la habilidad find-skills: cuando un usuario pregunta "cómo hacer X", "¿hay alguna habilidad que pueda...?", o quiere ampliar capacidades, se encarga de descubrir e instalar la habilidad de agente inteligente correspondiente.

Simplemente dices "ayúdame a hacer X", y él se encarga de todo el proceso: buscar, filtrar, instalar el más adecuado.

Lo que da más tranquilidad es que incluye un control de calidad. Al seleccionar una habilidad, revisa el número de instalaciones, compara la fuente, prioriza las populares y las oficiales, y te advierte si proviene de fuentes dudosas.

El código fuente de SKILL.md de la habilidad find-skills establece explícitamente tres reglas de verificación antes de la recomendación: prioridad a instalaciones de 1000+, precaución con menos de 100, fuentes prioritarias como Vercel, Anthropic, Microsoft y otras oficiales, y dudar de repositorios con menos de 100 estrellas.

Esto significa que la IA tiene por primera vez su propio "motor de búsqueda de capacidades". No necesitas saber qué habilidades hay ni cómo se llaman, solo dí qué quieres hacer y deja que él lo busque.

Lo más importante es que no solo es útil para programadores.

Quienes realmente sufren más por la "fragmentación de capacidades" son precisamente los diseñadores, gerentes de producto, creadores de contenido y otros que dependen de la IA para escribir código.

Ellos no tienen el hábito de la ingeniería, los commits de git y las normas de documentación dependen completamente de la IA, por lo que son los que más necesitan paquetes de habilidades listos para usar.

Find Skills les da una entrada desde la que pueden dirigir recursos sin necesidad de entender el campo.

Detrás del bullicio

hay una cuenta que nadie cubre

Suena muy bien, pero no te emociones todavía.

Volvamos al directorio scripts. Lo que contiene la habilidad es lógica de ejecución, no simples instrucciones inofensivas; realmente ejecutará comandos en tu computadora.

Pero qué archivos toca exactamente el paquete de terceros que instalaste al azar, la mayoría de la gente ni siquiera lo revisa.

¿Cuántos riesgos podrían estar ocultos aquí?

El estudio ToxicSkills de la empresa de seguridad Snyk realizó la primera auditoría sistemática de 3984 habilidades en ClawHub y skills.sh: más del 30% tenían defectos de seguridad, el 13.4% (534) eran de nivel crítico, cubriendo distribución de malware, inyección de prompts, fuga de claves.

Esto significa que en promedio, de cada 7 u 8, hay 1 que puede perjudicarte directamente.

Estudio "ToxicSkills" de Snyk audita 3984 habilidades: 1467 (36.82%) tenían algún defecto de seguridad, de los cuales 534 (13.4%) eran críticos, se confirmaron 76 cargas maliciosas, y otras 8 aún existen en ClawHub. (Fuente: Snyk)

Otra institución, Koi Security, auditó 2857 y detectó 341 maliciosas.

Los principales métodos son básicamente dos caminos.

Uno es a través de scripts, haciendo que tu IA descargue cosas desde IPs desconocidas y las ejecute en el lugar, o robe y lea tu configuración de SSH o AWS.

El otro es más oculto, directamente envenenando el texto en SKILL.md, donde la IA lee las instrucciones ocultas del atacante como instrucciones de trabajo legítimas y las ejecuta sin dudar.

Las más peligrosas incluso roban específicamente los archivos de memoria donde el agente inteligente almacena conversaciones privadas.

Podrías decir, ¿npm no también tiene envenenamiento todos los días? Pero esta vez el riesgo es de otra magnitud.

npm instala código puro, los datos y las instrucciones están separados; skill borra este límite, combina prompts, código y permisos completos. Un solo SKILL.md puede reescribir el comportamiento del agente inteligente, y tiene acceso directo a tu sistema de archivos, red y shell.

El riesgo de npm a lo sumo afecta los productos de construcción, el riesgo de skill llega directamente a tus credenciales locales y a todo tu repositorio de código.

Por supuesto, esto no es para desanimarte a instalar. Vercel mismo advierte: trata las habilidades como código, léelas antes de instalar, y ten especial cuidado con el directorio scripts.

Una regla básica de sentido común es: un alto número de descargas no equivale a seguridad. Lo que realmente debes observar es la fuente y los permisos. Una habilidad para consultar el clima que pide leer las claves SSH de tu servidor, ¿para qué las necesita?

El tan esperado "momento npm" de las capacidades de IA realmente ha llegado.

Solo que no solo trajo conveniencia, sino que también empaquetó y envió todos los problemas que npm ha enfrentado en estos años, y lo hizo antes de que el ecosistema madurara.

Instalar capacidades con un solo comando es ciertamente genial, pero este camino acaba de comenzar. Te permite reutilizar la experiencia acumulada por colegas, pero también requiere que participes con criterio.

Seleccionar paquetes, revisar fuentes, verificar permisos; estas antiguas habilidades de los desarrolladores, esta vez también debes llevarlas contigo.

Veinte años

Un solo comando

En definitiva, el punto de partida de todo esto sigue siendo Guillermo Rauch, fundador de Vercel.

Es de Lanús, en Buenos Aires, Argentina. Según sus propias palabras, gran parte de su carrera se debe a la Web y al código abierto.

De joven, era un entusiasta promotor de Linux, enseñaba a la gente a usarlo, y luego se sumergió en JavaScript; después de unirse al equipo central del proyecto de código abierto MooTools, a los 18 años consiguió su primer trabajo a tiempo completo como ingeniero frontend y se mudó a San Francisco.

Guillermo Rauch

Una de sus obras más famosas es Socket.io: una biblioteca de comunicación en tiempo real ampliamente utilizada. La sincronización en tiempo real de Notion y los primeros productos comerciales de Coinbase funcionan con ella.

Luego, identificó una dirección: crear herramientas e infraestructura en la nube para que la Web sea más rápida y llevar la experiencia del desarrollador al máximo. Así nacieron Next.js y Vercel.

Hoy, esta plataforma sostiene los servicios en línea de empresas como The Washington Post, Porsche, Under Armour y Nintendo.

Y la verdadera ventaja de Vercel está aquí: escribir código, previsualizar, desplegar, todo con un solo comando. Una vez que los desarrolladores lo usan, es difícil salir de este sistema.

En definitiva, Rauch ha hecho solo una cosa durante veinte años: comprimir la ingeniería originalmente compleja en ese único comando que los desarrolladores se atreven a ejecutar con los ojos cerrados.

Desde un solo comando now para levantar un servidor, hasta Next.js, y ahora npx skills add, la misma habilidad, esta vez aplicada a los agentes inteligentes de IA.

Referencias:

https://github.com/vercel-labs/skills#supported-agents

https://www.skills.sh/

https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/

Este artículo proviene del WeChat público "New Zhiyuan", autor: ASI Apocalipsis, editor: Yuanyu

Criptos en tendencia

Preguntas relacionadas

Q¿Qué es Vercel Skills y cuál es su principal función?

AVercel Skills es un gestor de paquetes de línea de comandos (CLI) para agentes de IA. Su función principal es permitir a los desarrolladores instalar, gestionar y compartir 'habilidades' o 'skills' (paquetes que contienen conocimientos específicos, patrones o scripts) para sus asistentes de IA, de manera similar a como 'npm' lo hace para paquetes de código JavaScript. Con un simple comando como `npx skills add `, los agentes de IA como Claude Code o Cursor pueden adquirir nuevas capacidades, como prácticas de codificación específicas para un framework o proyecto.

Q¿Qué es 'find-skills' y por qué es destacable en el ecosistema de Vercel Skills?

A'find-skills' es una habilidad especial que actúa como un 'buscador de habilidades'. Su función es automatizar la búsqueda, evaluación e instalación de la habilidad más adecuada cuando un usuario describe una tarea que quiere realizar (ej., 'ayúdame a hacer X'). Es destacable porque representa la primera vez que un agente de IA tiene su propio 'motor de búsqueda de capacidades', liberando al usuario de tener que conocer el nombre o la existencia de habilidades específicas. Además, incluye criterios de calidad como priorizar paquetes con más instalaciones y provenientes de fuentes oficiales.

Q¿Cuáles son los principales riesgos de seguridad asociados a la instalación de habilidades (skills) de IA según el artículo?

ALos principales riesgos de seguridad incluyen: 1) Código malicioso en scripts que puede ejecutar comandos arbitrarios, descargar contenido de IPs desconocidas o robar credenciales locales (como claves SSH o AWS). 2) Inyección de 'prompts' o instrucciones ocultas dentro del archivo SKILL.md, que pueden manipular el comportamiento del agente de IA. 3) Acceso no autorizado a archivos confidenciales, incluyendo el historial de conversaciones del agente. Estudios de seguridad citados en el artículo indican que un porcentaje significativo de habilidades analizadas (más del 30%) contenían defectos de seguridad, y alrededor del 13.4% eran de gravedad crítica.

Q¿Cómo se relaciona la estrategia de Vercel con Skills con su éxito anterior con Next.js?

ALa estrategia de Vercel con Skills replica el patrón de éxito de Next.js: crear y controlar un punto de entrada esencial en el flujo de trabajo de los desarrolladores. Con Next.js, Vercel se convirtió en el estándar de facto para el desarrollo y despliegue de aplicaciones React, atrapando a los desarrolladores en su plataforma de nube. Con Skills, Vercel busca posicionarse como la capa de gestión y distribución estándar para las capacidades de los agentes de IA en programación, unificando el acceso a habilidades para múltiples herramientas (Claude, Cursor, etc.) y aspirando a ser el 'npm' de la inteligencia artificial, creando así una nueva dependencia de su ecosistema.

Q¿Qué cambio fundamental en el desarrollo con IA representa la aparición de herramientas como Vercel Skills según el texto?

ARepresenta un cambio fundamental de la 'ingeniería de prompts' a la 'ingeniería de capacidades'. Anteriormente, la eficacia de un agente de IA dependía de cómo el usuario formulaba la solicitud en cada conversación (el 'prompt'). Con herramientas como Skills, las capacidades específicas, las mejores prácticas y los conocimientos contextuales se pueden empaquetar, versionar, distribuir y reutilizar de manera permanente. Esto permite que el agente no solo entienda una solicitud puntual, sino que incorpore de forma duradera 'cómo se hacen las cosas' en un proyecto o equipo particular, transformando el conocimiento tácito en módulos instalables.

Lecturas Relacionadas

Probabilidad por debajo del 50%: ¿El proyecto de ley Clarity no tiene esperanza este año?

Probabilidad cae bajo 50%: ¿Se esfuma el proyecto de Ley Clarity para este año? El objetivo inicial de firmar la Ley Clarity el 4 de julio ha fracasado, y la ventana para su aprobación antes de las elecciones de mitad de período se estrecha rápidamente. Aunque se espera el texto final del Senado pronto, el proceso en la Cámara de Representantes está estancado. Quedan solo unas tres semanas efectivas de trabajo antes del receso de agosto, con al menos tres disputas pendientes. La ley, que busca establecer el primer marco regulatorio federal integral para los activos digitales en EE.UU., define los límites de la SEC y la CFTC. Aprobada en la Cámara en julio de 2025 y por el comité bancario del Senado en mayo, enfrenta obstáculos clave: cláusulas de ingresos de stablecoins, exenciones de responsabilidad para desarrolladores DeFi y detalles sobre aplicación de la ley y ética. Una ruptura en las negociaciones a puerta cerrada a principios de junio sobre una cláusula de ética complicó más el avance. Un factor positivo es que la Asociación de Alguaciles de EE.UU. ha cambiado su postura a neutral tras abordarse algunas de sus preocupaciones sobre la aplicación de la ley. Sin embargo, según datos de Polymarket, la probabilidad de que la ley sea promulgada este año es solo del 49%. Los analistas señalan que una aprobación impulsaría la adopción institucional, mientras que un retraso prolongaría la incertidumbre regulatoria. Las próximas semanas son cruciales para el destino de esta legislación.

Foresight NewsHace 6 min(s)

Probabilidad por debajo del 50%: ¿El proyecto de ley Clarity no tiene esperanza este año?

Foresight NewsHace 6 min(s)

Informe Semanal de Financiación | 9 eventos de financiación pública, Venice AI obtiene 65 millones de dólares en financiación Serie A liderada por Dragonfly

**Resumen Semanal de Financiación (29 junio - 5 julio)** La actividad del mercado primario de cripto se redujo la semana pasada, aunque las transacciones on-chain y la Web3+AI continuaron atrayendo capital. Se registraron **9 eventos de financiación**, con un volumen total superior a **506 millones de dólares**. **Destacados por sector:** * **DeFi (3 eventos):** Extended, un exchange de contratos perpetuos on-chain, completó una ronda estratégica de 125 millones de dólares liderada por eToro. * **Web3 + IA (3 eventos):** Venice AI, una plataforma de IA prioritaria en privacidad, obtuvo 65 millones de dólares en una ronda Serie A, alcanzando una valoración de 1.000 millones. Dragonfly lideró la inversión. * **Mercados de Predicción (1 evento):** Adjacent, proveedor de índices para estos mercados, recaudó 2,5 millones en una ronda Pre-Seed. * **Finanzas Centralizadas (1 evento):** Lion Group planea invertir hasta 12 millones en el desarrollador indonesio de stablecoin Nusantara Bumi Sangkara. * **Otros (1 evento):** La minera de Bitcoin Ionic Digital recaudó aproximadamente 400 millones en una ronda privada antes de su listado en Nasdaq. **Otro hito:** Se anunció la adquisición del proyecto de privacidad Sunscreen por parte de Fhenix para continuar el desarrollo de tecnología de cifrado totalmente homomórfico (FHE).

marsbitHace 22 min(s)

Informe Semanal de Financiación | 9 eventos de financiación pública, Venice AI obtiene 65 millones de dólares en financiación Serie A liderada por Dragonfly

marsbitHace 22 min(s)

Trading

Spot

Artículos destacados

Cómo comprar ONE

¡Bienvenido a HTX.com! Hemos hecho que comprar Harmony (ONE) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar Harmony (ONE) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu Harmony (ONE)Después de comprar tu Harmony (ONE), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear Harmony (ONE)Tradear fácilmente con Harmony (ONE) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

551 Vistas totalesPublicado en 2024.12.12Actualizado en 2026.06.02

Cómo comprar ONE

Discusiones

Bienvenido a la comunidad de HTX. Aquí puedes mantenerte informado sobre los últimos desarrollos de la plataforma y acceder a análisis profesionales del mercado. A continuación se presentan las opiniones de los usuarios sobre el precio de ONE (ONE).

活动图片