Antes, lo que intercambiaban los desarrolladores eran plantillas de prompts.
Ahora, la tendencia ha cambiado. Lo que todos se preguntan es qué habilidad (skill) deberías instalar.
Detrás de esto, hay un cambio aún mayor: las herramientas de programación con IA han empezado a "instalar paquetes".
El 17 de enero de este año por la mañana, Guillermo Rauch, fundador y CEO de Vercel, publicó un tuit en X: Estamos lanzando skills – el "npm" para las habilidades de IA.
Por "npm" se refiere a ese gestor de paquetes que los ingenieros frontend usan a diario, con el que un solo comando puede instalar en tu proyecto lo que otros ya han escrito.
La implicación de Rauch es que esta experiencia de "instalar el trabajo de otros con una sola línea de comandos" ahora va a llegar a la IA.

"El padre de la langosta", Peter Steinberger, respondió de inmediato: "¡Genial! Necesita sincronizarse con ClawHub."

ClawHub es un mercado de habilidades para otro ecosistema de agentes inteligentes, no es propiedad de Vercel. Sin embargo, la primera reacción de Peter fue "sincronizar".
Tres días después, Vercel lo anunció oficialmente en su registro de actualizaciones: una herramienta de línea de comandos para instalar y gestionar paquetes de capacidades para agentes inteligentes.
Este repositorio oficial, vercel-labs/skills, alcanzó 24,000 estrellas en GitHub en solo cinco meses desde su lanzamiento.

¿Por qué es tan popular? Es simple, solo requiere un comando:
npx skills add .
Básicamente, es un gestor de paquetes para agentes inteligentes de IA.
Es como el npm que los ingenieros frontend usan a diario: un comando instala lo que otros ya han escrito en tu proyecto, solo que esta vez no instala bibliotecas de código, sino "capacidades".
Lo más increíble es que no depende de la herramienta. Claude Code, Cursor, Codex, Gemini CLI... Los agentes inteligentes oficialmente soportados ya superan los 68. Un mismo paquete de capacidades puede ejecutarse en cualquiera de estas herramientas.
Vercel también ha lanzado skills.sh, un directorio de habilidades con un ranking de instalaciones. Puedes ver de un vistazo qué habilidades son populares y cuántas veces se han instalado.
El paquete que encabeza la lista, llamado find-skills, ya alcanzó las 2.3 millones de instalaciones.

Ranking de instalaciones del directorio de habilidades skills.sh. find-skills encabeza la lista con 2.3 millones de instalaciones, seguido por frontend-design, vercel-react-best-practices, etc. (Fuente: skills.sh)
Las capacidades de programación con IA tienen por primera vez un ranking de "descargas populares".
Un solo comando
La IA aprendió un nuevo oficio
Primero, veamos qué hace realmente.
Escribe npx skills add vercel-labs/agent-skills, presiona Enter.
En segundos, tu Claude Code tendrá un conjunto de estándares de ingeniería para React y Next.js, además de una serie de principios de diseño. La próxima vez que escriba código, lo hará automáticamente siguiendo estas reglas.
Este conjunto de cosas se llama oficialmente "paquete de habilidades (skill)". En esencia, es una carpeta cuyo núcleo es un archivo SKILL.md con una cabecera YAML, que especifica dos cosas: qué es esta habilidad y cuándo usarla.
La carpeta también puede contener documentación de referencia, plantillas y un directorio scripts/ dedicado, que contiene scripts ejecutables directamente.
Resuelve un problema muy real.
El modelo entiende los lenguajes de programación y frameworks generales, pero no conoce las "reglas locales" de tu proyecto: el estilo de código, las convenciones de nomenclatura, los problemas que han enfrentado.
Antes, esto solo podía solucionarse repitiéndolo en cada nueva conversación. Ahora, se puede empaquetar en un skill, instalarlo una vez y que sea efectivo a largo plazo.
Después de instalarlo, puedes gestionarlo como un paquete npm: list para ver cuáles están instalados, update para actualizarlos con un clic, remove para eliminarlos.
En el fondo, es un conjunto de normas compartidas. Lo que instalas en Claude Code también funciona en Cursor.
Si incluso instalar te parece tedioso, hay una opción más ligera: no instalar, usarlo directamente.
Con un simple npx skills use, traes la habilidad temporalmente, la conectas por tubería para que la ejecute Claude, y se va después de usarla, sin "ensuciar" ni siquiera el directorio local.
Antes, los límites de la capacidad de la IA dependían de cómo la describieras. Ahora, las capacidades se han convertido en paquetes que se pueden tomar directamente del estante.
La "npmización" de la capa de herramientas de IA
Mucha gente podría considerarlo una nueva funcionalidad de Claude. Pero proviene de Vercel, no es una capacidad nativa de Anthropic.
Claude Code, Cursor, Codex, GitHub Copilot, Windsurf... todos son objetos soportados. skills CLI los integra a todos, ofreciendo una única entrada unificada.
Detrás de esta entrada, está la capa de herramientas de IA empezando a "npmizarse".
Vercel empaqueta estas experiencias dispersas en módulos reutilizables, distribuibles y gestionables por versiones.
Las capacidades de IA están pasando de la "ingeniería de prompts" a la "ingeniería de capacidades (capability engineering)". La primera resuelve "cómo decirlo esta vez", la segunda resuelve "cómo hacer esto siempre en el futuro".
Vercel ya ha jugado esta carta una vez.
En su momento, se posicionó con Next.js en la entrada de despliegue de todo el ecosistema frontend, un lugar por el que los desarrolladores frontend no podían pasar.
Ahora quiere contar la misma historia en la capa de los agentes inteligentes de IA.
Find Skills
La IA tiene por primera vez un "buscador de capacidades"
El toque más futurista es Find Skills, una "habilidad para encontrar habilidades".

Definición oficial de la habilidad find-skills: cuando un usuario pregunta "cómo hacer X", "¿hay alguna habilidad que pueda...?", o quiere ampliar capacidades, se encarga de descubrir e instalar la habilidad de agente inteligente correspondiente.
Simplemente dices "ayúdame a hacer X", y él se encarga de todo el proceso: buscar, filtrar, instalar el más adecuado.
Lo que da más tranquilidad es que incluye un control de calidad. Al seleccionar una habilidad, revisa el número de instalaciones, compara la fuente, prioriza las populares y las oficiales, y te advierte si proviene de fuentes dudosas.

El código fuente de SKILL.md de la habilidad find-skills establece explícitamente tres reglas de verificación antes de la recomendación: prioridad a instalaciones de 1000+, precaución con menos de 100, fuentes prioritarias como Vercel, Anthropic, Microsoft y otras oficiales, y dudar de repositorios con menos de 100 estrellas.
Esto significa que la IA tiene por primera vez su propio "motor de búsqueda de capacidades". No necesitas saber qué habilidades hay ni cómo se llaman, solo dí qué quieres hacer y deja que él lo busque.
Lo más importante es que no solo es útil para programadores.
Quienes realmente sufren más por la "fragmentación de capacidades" son precisamente los diseñadores, gerentes de producto, creadores de contenido y otros que dependen de la IA para escribir código.
Ellos no tienen el hábito de la ingeniería, los commits de git y las normas de documentación dependen completamente de la IA, por lo que son los que más necesitan paquetes de habilidades listos para usar.
Find Skills les da una entrada desde la que pueden dirigir recursos sin necesidad de entender el campo.
Detrás del bullicio
hay una cuenta que nadie cubre
Suena muy bien, pero no te emociones todavía.
Volvamos al directorio scripts. Lo que contiene la habilidad es lógica de ejecución, no simples instrucciones inofensivas; realmente ejecutará comandos en tu computadora.
Pero qué archivos toca exactamente el paquete de terceros que instalaste al azar, la mayoría de la gente ni siquiera lo revisa.
¿Cuántos riesgos podrían estar ocultos aquí?
El estudio ToxicSkills de la empresa de seguridad Snyk realizó la primera auditoría sistemática de 3984 habilidades en ClawHub y skills.sh: más del 30% tenían defectos de seguridad, el 13.4% (534) eran de nivel crítico, cubriendo distribución de malware, inyección de prompts, fuga de claves.
Esto significa que en promedio, de cada 7 u 8, hay 1 que puede perjudicarte directamente.

Estudio "ToxicSkills" de Snyk audita 3984 habilidades: 1467 (36.82%) tenían algún defecto de seguridad, de los cuales 534 (13.4%) eran críticos, se confirmaron 76 cargas maliciosas, y otras 8 aún existen en ClawHub. (Fuente: Snyk)
Otra institución, Koi Security, auditó 2857 y detectó 341 maliciosas.
Los principales métodos son básicamente dos caminos.
Uno es a través de scripts, haciendo que tu IA descargue cosas desde IPs desconocidas y las ejecute en el lugar, o robe y lea tu configuración de SSH o AWS.
El otro es más oculto, directamente envenenando el texto en SKILL.md, donde la IA lee las instrucciones ocultas del atacante como instrucciones de trabajo legítimas y las ejecuta sin dudar.
Las más peligrosas incluso roban específicamente los archivos de memoria donde el agente inteligente almacena conversaciones privadas.
Podrías decir, ¿npm no también tiene envenenamiento todos los días? Pero esta vez el riesgo es de otra magnitud.
npm instala código puro, los datos y las instrucciones están separados; skill borra este límite, combina prompts, código y permisos completos. Un solo SKILL.md puede reescribir el comportamiento del agente inteligente, y tiene acceso directo a tu sistema de archivos, red y shell.
El riesgo de npm a lo sumo afecta los productos de construcción, el riesgo de skill llega directamente a tus credenciales locales y a todo tu repositorio de código.
Por supuesto, esto no es para desanimarte a instalar. Vercel mismo advierte: trata las habilidades como código, léelas antes de instalar, y ten especial cuidado con el directorio scripts.
Una regla básica de sentido común es: un alto número de descargas no equivale a seguridad. Lo que realmente debes observar es la fuente y los permisos. Una habilidad para consultar el clima que pide leer las claves SSH de tu servidor, ¿para qué las necesita?
El tan esperado "momento npm" de las capacidades de IA realmente ha llegado.
Solo que no solo trajo conveniencia, sino que también empaquetó y envió todos los problemas que npm ha enfrentado en estos años, y lo hizo antes de que el ecosistema madurara.
Instalar capacidades con un solo comando es ciertamente genial, pero este camino acaba de comenzar. Te permite reutilizar la experiencia acumulada por colegas, pero también requiere que participes con criterio.
Seleccionar paquetes, revisar fuentes, verificar permisos; estas antiguas habilidades de los desarrolladores, esta vez también debes llevarlas contigo.
Veinte años
Un solo comando
En definitiva, el punto de partida de todo esto sigue siendo Guillermo Rauch, fundador de Vercel.
Es de Lanús, en Buenos Aires, Argentina. Según sus propias palabras, gran parte de su carrera se debe a la Web y al código abierto.
De joven, era un entusiasta promotor de Linux, enseñaba a la gente a usarlo, y luego se sumergió en JavaScript; después de unirse al equipo central del proyecto de código abierto MooTools, a los 18 años consiguió su primer trabajo a tiempo completo como ingeniero frontend y se mudó a San Francisco.

Guillermo Rauch
Una de sus obras más famosas es Socket.io: una biblioteca de comunicación en tiempo real ampliamente utilizada. La sincronización en tiempo real de Notion y los primeros productos comerciales de Coinbase funcionan con ella.
Luego, identificó una dirección: crear herramientas e infraestructura en la nube para que la Web sea más rápida y llevar la experiencia del desarrollador al máximo. Así nacieron Next.js y Vercel.
Hoy, esta plataforma sostiene los servicios en línea de empresas como The Washington Post, Porsche, Under Armour y Nintendo.
Y la verdadera ventaja de Vercel está aquí: escribir código, previsualizar, desplegar, todo con un solo comando. Una vez que los desarrolladores lo usan, es difícil salir de este sistema.
En definitiva, Rauch ha hecho solo una cosa durante veinte años: comprimir la ingeniería originalmente compleja en ese único comando que los desarrolladores se atreven a ejecutar con los ojos cerrados.
Desde un solo comando now para levantar un servidor, hasta Next.js, y ahora npx skills add, la misma habilidad, esta vez aplicada a los agentes inteligentes de IA.
Referencias:
https://github.com/vercel-labs/skills#supported-agents
https://www.skills.sh/
https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/
Este artículo proviene del WeChat público "New Zhiyuan", autor: ASI Apocalipsis, editor: Yuanyu






