Acaparó 24,000 estrellas: con un solo comando, la IA ya puede buscar habilidades por sí misma

marsbitPublicado a 2026-07-06Actualizado a 2026-07-06

Resumen

## Resumen en español de Europa (Menos de 1500 caracteres) La herramienta `skills` de Vercel, un administrador de paquetes para agentes de IA que alcanzó 24,000 estrellas en GitHub en 5 meses, está transformando la programación con IA. Permite instalar "paquetes de habilidades" específicos (como mejores prácticas de React o reglas de diseño) en agentes como Claude Code o Cursor con un simple comando `npx skills add <paquete>`. Estos paquetes, que contienen instrucciones y scripts, permiten que la IA aprenda y aplique permanentemente el conocimiento contextual de un proyecto, pasando de la ingeniería de prompts a la "ingeniería de capacidades". La característica más futurista es `find-skills`, una habilidad que permite al agente buscar e instalar automáticamente el paquete necesario según la tarea del usuario, actuando como un motor de búsqueda de capacidades para IA. Sin embargo, este ecosistema emergente plantea graves riesgos de seguridad. Estudios como "ToxicSkills" de Snyk revelan que más del 30% de los paquetes auditados presentan defectos, incluyendo malware, inyección de prompts y robo de claves. A diferencia de npm, los "skills" combinan código, instrucciones naturales y acceso directo al sistema, amplificando el potencial de daño. Se recomienda verificar minuciosamente la fuente y los permisos de cada paquete antes de instalarlo. En esencia, Vercel repite su fórmula de éxito: simplificar procesos complejos (esta vez en la capa de los agentes de IA) en un solo com...

Antes, lo que intercambiaban los desarrolladores eran plantillas de prompts.

Ahora, la tendencia ha cambiado. Lo que todos se preguntan es qué habilidad (skill) deberías instalar.

Detrás de esto, hay un cambio aún mayor: las herramientas de programación con IA han empezado a "instalar paquetes".

El 17 de enero de este año por la mañana, Guillermo Rauch, fundador y CEO de Vercel, publicó un tuit en X: Estamos lanzando skills – el "npm" para las habilidades de IA.

Por "npm" se refiere a ese gestor de paquetes que los ingenieros frontend usan a diario, con el que un solo comando puede instalar en tu proyecto lo que otros ya han escrito.

La implicación de Rauch es que esta experiencia de "instalar el trabajo de otros con una sola línea de comandos" ahora va a llegar a la IA.

"El padre de la langosta", Peter Steinberger, respondió de inmediato: "¡Genial! Necesita sincronizarse con ClawHub."

ClawHub es un mercado de habilidades para otro ecosistema de agentes inteligentes, no es propiedad de Vercel. Sin embargo, la primera reacción de Peter fue "sincronizar".

Tres días después, Vercel lo anunció oficialmente en su registro de actualizaciones: una herramienta de línea de comandos para instalar y gestionar paquetes de capacidades para agentes inteligentes.

Este repositorio oficial, vercel-labs/skills, alcanzó 24,000 estrellas en GitHub en solo cinco meses desde su lanzamiento.

¿Por qué es tan popular? Es simple, solo requiere un comando:

npx skills add .

Básicamente, es un gestor de paquetes para agentes inteligentes de IA.

Es como el npm que los ingenieros frontend usan a diario: un comando instala lo que otros ya han escrito en tu proyecto, solo que esta vez no instala bibliotecas de código, sino "capacidades".

Lo más increíble es que no depende de la herramienta. Claude Code, Cursor, Codex, Gemini CLI... Los agentes inteligentes oficialmente soportados ya superan los 68. Un mismo paquete de capacidades puede ejecutarse en cualquiera de estas herramientas.

Vercel también ha lanzado skills.sh, un directorio de habilidades con un ranking de instalaciones. Puedes ver de un vistazo qué habilidades son populares y cuántas veces se han instalado.

El paquete que encabeza la lista, llamado find-skills, ya alcanzó las 2.3 millones de instalaciones.

Ranking de instalaciones del directorio de habilidades skills.sh. find-skills encabeza la lista con 2.3 millones de instalaciones, seguido por frontend-design, vercel-react-best-practices, etc. (Fuente: skills.sh)

Las capacidades de programación con IA tienen por primera vez un ranking de "descargas populares".

Un solo comando

La IA aprendió un nuevo oficio

Primero, veamos qué hace realmente.

Escribe npx skills add vercel-labs/agent-skills, presiona Enter.

En segundos, tu Claude Code tendrá un conjunto de estándares de ingeniería para React y Next.js, además de una serie de principios de diseño. La próxima vez que escriba código, lo hará automáticamente siguiendo estas reglas.

Este conjunto de cosas se llama oficialmente "paquete de habilidades (skill)". En esencia, es una carpeta cuyo núcleo es un archivo SKILL.md con una cabecera YAML, que especifica dos cosas: qué es esta habilidad y cuándo usarla.

La carpeta también puede contener documentación de referencia, plantillas y un directorio scripts/ dedicado, que contiene scripts ejecutables directamente.

Resuelve un problema muy real.

El modelo entiende los lenguajes de programación y frameworks generales, pero no conoce las "reglas locales" de tu proyecto: el estilo de código, las convenciones de nomenclatura, los problemas que han enfrentado.

Antes, esto solo podía solucionarse repitiéndolo en cada nueva conversación. Ahora, se puede empaquetar en un skill, instalarlo una vez y que sea efectivo a largo plazo.

Después de instalarlo, puedes gestionarlo como un paquete npm: list para ver cuáles están instalados, update para actualizarlos con un clic, remove para eliminarlos.

En el fondo, es un conjunto de normas compartidas. Lo que instalas en Claude Code también funciona en Cursor.

Si incluso instalar te parece tedioso, hay una opción más ligera: no instalar, usarlo directamente.

Con un simple npx skills use, traes la habilidad temporalmente, la conectas por tubería para que la ejecute Claude, y se va después de usarla, sin "ensuciar" ni siquiera el directorio local.

Antes, los límites de la capacidad de la IA dependían de cómo la describieras. Ahora, las capacidades se han convertido en paquetes que se pueden tomar directamente del estante.

La "npmización" de la capa de herramientas de IA

Mucha gente podría considerarlo una nueva funcionalidad de Claude. Pero proviene de Vercel, no es una capacidad nativa de Anthropic.

Claude Code, Cursor, Codex, GitHub Copilot, Windsurf... todos son objetos soportados. skills CLI los integra a todos, ofreciendo una única entrada unificada.

Detrás de esta entrada, está la capa de herramientas de IA empezando a "npmizarse".

Vercel empaqueta estas experiencias dispersas en módulos reutilizables, distribuibles y gestionables por versiones.

Las capacidades de IA están pasando de la "ingeniería de prompts" a la "ingeniería de capacidades (capability engineering)". La primera resuelve "cómo decirlo esta vez", la segunda resuelve "cómo hacer esto siempre en el futuro".

Vercel ya ha jugado esta carta una vez.

En su momento, se posicionó con Next.js en la entrada de despliegue de todo el ecosistema frontend, un lugar por el que los desarrolladores frontend no podían pasar.

Ahora quiere contar la misma historia en la capa de los agentes inteligentes de IA.

Find Skills

La IA tiene por primera vez un "buscador de capacidades"

El toque más futurista es Find Skills, una "habilidad para encontrar habilidades".

Definición oficial de la habilidad find-skills: cuando un usuario pregunta "cómo hacer X", "¿hay alguna habilidad que pueda...?", o quiere ampliar capacidades, se encarga de descubrir e instalar la habilidad de agente inteligente correspondiente.

Simplemente dices "ayúdame a hacer X", y él se encarga de todo el proceso: buscar, filtrar, instalar el más adecuado.

Lo que da más tranquilidad es que incluye un control de calidad. Al seleccionar una habilidad, revisa el número de instalaciones, compara la fuente, prioriza las populares y las oficiales, y te advierte si proviene de fuentes dudosas.

El código fuente de SKILL.md de la habilidad find-skills establece explícitamente tres reglas de verificación antes de la recomendación: prioridad a instalaciones de 1000+, precaución con menos de 100, fuentes prioritarias como Vercel, Anthropic, Microsoft y otras oficiales, y dudar de repositorios con menos de 100 estrellas.

Esto significa que la IA tiene por primera vez su propio "motor de búsqueda de capacidades". No necesitas saber qué habilidades hay ni cómo se llaman, solo dí qué quieres hacer y deja que él lo busque.

Lo más importante es que no solo es útil para programadores.

Quienes realmente sufren más por la "fragmentación de capacidades" son precisamente los diseñadores, gerentes de producto, creadores de contenido y otros que dependen de la IA para escribir código.

Ellos no tienen el hábito de la ingeniería, los commits de git y las normas de documentación dependen completamente de la IA, por lo que son los que más necesitan paquetes de habilidades listos para usar.

Find Skills les da una entrada desde la que pueden dirigir recursos sin necesidad de entender el campo.

Detrás del bullicio

hay una cuenta que nadie cubre

Suena muy bien, pero no te emociones todavía.

Volvamos al directorio scripts. Lo que contiene la habilidad es lógica de ejecución, no simples instrucciones inofensivas; realmente ejecutará comandos en tu computadora.

Pero qué archivos toca exactamente el paquete de terceros que instalaste al azar, la mayoría de la gente ni siquiera lo revisa.

¿Cuántos riesgos podrían estar ocultos aquí?

El estudio ToxicSkills de la empresa de seguridad Snyk realizó la primera auditoría sistemática de 3984 habilidades en ClawHub y skills.sh: más del 30% tenían defectos de seguridad, el 13.4% (534) eran de nivel crítico, cubriendo distribución de malware, inyección de prompts, fuga de claves.

Esto significa que en promedio, de cada 7 u 8, hay 1 que puede perjudicarte directamente.

Estudio "ToxicSkills" de Snyk audita 3984 habilidades: 1467 (36.82%) tenían algún defecto de seguridad, de los cuales 534 (13.4%) eran críticos, se confirmaron 76 cargas maliciosas, y otras 8 aún existen en ClawHub. (Fuente: Snyk)

Otra institución, Koi Security, auditó 2857 y detectó 341 maliciosas.

Los principales métodos son básicamente dos caminos.

Uno es a través de scripts, haciendo que tu IA descargue cosas desde IPs desconocidas y las ejecute en el lugar, o robe y lea tu configuración de SSH o AWS.

El otro es más oculto, directamente envenenando el texto en SKILL.md, donde la IA lee las instrucciones ocultas del atacante como instrucciones de trabajo legítimas y las ejecuta sin dudar.

Las más peligrosas incluso roban específicamente los archivos de memoria donde el agente inteligente almacena conversaciones privadas.

Podrías decir, ¿npm no también tiene envenenamiento todos los días? Pero esta vez el riesgo es de otra magnitud.

npm instala código puro, los datos y las instrucciones están separados; skill borra este límite, combina prompts, código y permisos completos. Un solo SKILL.md puede reescribir el comportamiento del agente inteligente, y tiene acceso directo a tu sistema de archivos, red y shell.

El riesgo de npm a lo sumo afecta los productos de construcción, el riesgo de skill llega directamente a tus credenciales locales y a todo tu repositorio de código.

Por supuesto, esto no es para desanimarte a instalar. Vercel mismo advierte: trata las habilidades como código, léelas antes de instalar, y ten especial cuidado con el directorio scripts.

Una regla básica de sentido común es: un alto número de descargas no equivale a seguridad. Lo que realmente debes observar es la fuente y los permisos. Una habilidad para consultar el clima que pide leer las claves SSH de tu servidor, ¿para qué las necesita?

El tan esperado "momento npm" de las capacidades de IA realmente ha llegado.

Solo que no solo trajo conveniencia, sino que también empaquetó y envió todos los problemas que npm ha enfrentado en estos años, y lo hizo antes de que el ecosistema madurara.

Instalar capacidades con un solo comando es ciertamente genial, pero este camino acaba de comenzar. Te permite reutilizar la experiencia acumulada por colegas, pero también requiere que participes con criterio.

Seleccionar paquetes, revisar fuentes, verificar permisos; estas antiguas habilidades de los desarrolladores, esta vez también debes llevarlas contigo.

Veinte años

Un solo comando

En definitiva, el punto de partida de todo esto sigue siendo Guillermo Rauch, fundador de Vercel.

Es de Lanús, en Buenos Aires, Argentina. Según sus propias palabras, gran parte de su carrera se debe a la Web y al código abierto.

De joven, era un entusiasta promotor de Linux, enseñaba a la gente a usarlo, y luego se sumergió en JavaScript; después de unirse al equipo central del proyecto de código abierto MooTools, a los 18 años consiguió su primer trabajo a tiempo completo como ingeniero frontend y se mudó a San Francisco.

Guillermo Rauch

Una de sus obras más famosas es Socket.io: una biblioteca de comunicación en tiempo real ampliamente utilizada. La sincronización en tiempo real de Notion y los primeros productos comerciales de Coinbase funcionan con ella.

Luego, identificó una dirección: crear herramientas e infraestructura en la nube para que la Web sea más rápida y llevar la experiencia del desarrollador al máximo. Así nacieron Next.js y Vercel.

Hoy, esta plataforma sostiene los servicios en línea de empresas como The Washington Post, Porsche, Under Armour y Nintendo.

Y la verdadera ventaja de Vercel está aquí: escribir código, previsualizar, desplegar, todo con un solo comando. Una vez que los desarrolladores lo usan, es difícil salir de este sistema.

En definitiva, Rauch ha hecho solo una cosa durante veinte años: comprimir la ingeniería originalmente compleja en ese único comando que los desarrolladores se atreven a ejecutar con los ojos cerrados.

Desde un solo comando now para levantar un servidor, hasta Next.js, y ahora npx skills add, la misma habilidad, esta vez aplicada a los agentes inteligentes de IA.

Referencias:

https://github.com/vercel-labs/skills#supported-agents

https://www.skills.sh/

https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/

Este artículo proviene del WeChat público "New Zhiyuan", autor: ASI Apocalipsis, editor: Yuanyu

Criptos en tendencia

Preguntas relacionadas

Q¿Qué es Vercel Skills y cuál es su principal función?

AVercel Skills es un gestor de paquetes de línea de comandos (CLI) para agentes de IA. Su función principal es permitir a los desarrolladores instalar, gestionar y compartir 'habilidades' o 'skills' (paquetes que contienen conocimientos específicos, patrones o scripts) para sus asistentes de IA, de manera similar a como 'npm' lo hace para paquetes de código JavaScript. Con un simple comando como `npx skills add `, los agentes de IA como Claude Code o Cursor pueden adquirir nuevas capacidades, como prácticas de codificación específicas para un framework o proyecto.

Q¿Qué es 'find-skills' y por qué es destacable en el ecosistema de Vercel Skills?

A'find-skills' es una habilidad especial que actúa como un 'buscador de habilidades'. Su función es automatizar la búsqueda, evaluación e instalación de la habilidad más adecuada cuando un usuario describe una tarea que quiere realizar (ej., 'ayúdame a hacer X'). Es destacable porque representa la primera vez que un agente de IA tiene su propio 'motor de búsqueda de capacidades', liberando al usuario de tener que conocer el nombre o la existencia de habilidades específicas. Además, incluye criterios de calidad como priorizar paquetes con más instalaciones y provenientes de fuentes oficiales.

Q¿Cuáles son los principales riesgos de seguridad asociados a la instalación de habilidades (skills) de IA según el artículo?

ALos principales riesgos de seguridad incluyen: 1) Código malicioso en scripts que puede ejecutar comandos arbitrarios, descargar contenido de IPs desconocidas o robar credenciales locales (como claves SSH o AWS). 2) Inyección de 'prompts' o instrucciones ocultas dentro del archivo SKILL.md, que pueden manipular el comportamiento del agente de IA. 3) Acceso no autorizado a archivos confidenciales, incluyendo el historial de conversaciones del agente. Estudios de seguridad citados en el artículo indican que un porcentaje significativo de habilidades analizadas (más del 30%) contenían defectos de seguridad, y alrededor del 13.4% eran de gravedad crítica.

Q¿Cómo se relaciona la estrategia de Vercel con Skills con su éxito anterior con Next.js?

ALa estrategia de Vercel con Skills replica el patrón de éxito de Next.js: crear y controlar un punto de entrada esencial en el flujo de trabajo de los desarrolladores. Con Next.js, Vercel se convirtió en el estándar de facto para el desarrollo y despliegue de aplicaciones React, atrapando a los desarrolladores en su plataforma de nube. Con Skills, Vercel busca posicionarse como la capa de gestión y distribución estándar para las capacidades de los agentes de IA en programación, unificando el acceso a habilidades para múltiples herramientas (Claude, Cursor, etc.) y aspirando a ser el 'npm' de la inteligencia artificial, creando así una nueva dependencia de su ecosistema.

Q¿Qué cambio fundamental en el desarrollo con IA representa la aparición de herramientas como Vercel Skills según el texto?

ARepresenta un cambio fundamental de la 'ingeniería de prompts' a la 'ingeniería de capacidades'. Anteriormente, la eficacia de un agente de IA dependía de cómo el usuario formulaba la solicitud en cada conversación (el 'prompt'). Con herramientas como Skills, las capacidades específicas, las mejores prácticas y los conocimientos contextuales se pueden empaquetar, versionar, distribuir y reutilizar de manera permanente. Esto permite que el agente no solo entienda una solicitud puntual, sino que incorpore de forma duradera 'cómo se hacen las cosas' en un proyecto o equipo particular, transformando el conocimiento tácito en módulos instalables.

Lecturas Relacionadas

Xingdong Jiyuan recauda 25.000 millones en dos meses, entrando el capital estatal

La empresa china de robótica corporal Starwise Century (星动纪元) ha completado recientemente una ronda de financiación de 10.000 millones de RMB, liderada por fondos estatales como China Reform Fund Management Corp. Esto eleva su financiación total a 25.000 millones de RMB en dos meses. Fundada en 2023 como una spin-off de la Universidad Tsinghua, la empresa se centra en la inteligencia artificial nativa, desarrollando capacidades integrales propias desde datos y modelos de IA hasta control, manos diestras y el robot completo. Starwise Century destaca por su investigación pionera en modelos mundiales para robótica y por su estrategia de "fortalecer el cerebro con las manos". Sus manos diestras totalmente accionadas directamente, como la XHAND 1, no solo son componentes clave sino también plataformas para recopilar datos de alta calidad del mundo físico, utilizados para entrenar sus modelos de IA como ERA-42. Esta mano es utilizada por múltiples empresas y universidades líderes a nivel mundial. La compañía ha logrado una implementación comercial significativa, especialmente en logística, trabajando con socios como SF Express y China Post en centros de clasificación donde los robots operan 24/7. También está activa en fabricación de alta gama (con Samsung, Lenovo) y servicios comerciales. Con un conjunto de datos extenso y único procedente de estas operaciones reales, Starwise Century busca establecer una ventaja competitiva sostenible en el campo de la robótica corporal, donde en 2026 se espera que la capacidad de cerrar el ciclo comercial sea un factor clave de diferenciación.

marsbitHace 1 min(s)

Xingdong Jiyuan recauda 25.000 millones en dos meses, entrando el capital estatal

marsbitHace 1 min(s)

Marea del Mercado (6 de julio): Oro y criptomonedas se recuperan antes que las acciones estadounidenses, las actas de la Fed marcarán la dirección de la semana

**Resumen de la Tendencias del Mercado Estadounidense (6 de Julio):** Los futuros del Nasdaq 100 subieron más del 1% durante el feriado del Día de la Independencia, apuntando a una reducción en las preocupaciones sobre el sector de la IA. El oro revirtió su racha bajista con una ganancia semanal del 2.16%, mientras que el crudo Brent cayó por cuarta semana consecutiva a medida que retrocedía la prima de riesgo de Oriente Medio. Bitcoin y Ethereum también avanzaron, siendo el repunte de este último (+15.1% en siete días) interpretado como una señal temprana de mayor apetito por el riesgo. Esta semana, varios eventos clave definirán la dirección del mercado: la incorporación récord de SpaceX al índice Nasdaq 100 el martes, que forzará compras de fondos pasivos; las audiencias sobre nuevos aranceles comerciales; y, sobre todo, la publicación de las actas de la última reunión de la Fed el jueves. Los mercados buscarán confirmación de un tono más "hawkish", después de que la proyección de tasas de junio mostrara a más funcionarios a favor de subir los tipos este año. La lógica alcista se basa en el repunte previo de los futuros y de los activos de riesgo como las criptomonedas. El argumento bajista advierte sobre los posibles obstáculos de los tres grandes eventos de la semana. El punto de inflexión real serán las actas de la Fed: si no son más duras de lo esperado, es probable que continúe el rebote; si confirman una inclinación hacia más alzas, los activos volátiles como Bitcoin podrían ser los primeros en retroceder.

marsbitHace 4 min(s)

Marea del Mercado (6 de julio): Oro y criptomonedas se recuperan antes que las acciones estadounidenses, las actas de la Fed marcarán la dirección de la semana

marsbitHace 4 min(s)

Trading

Spot

Artículos destacados

Cómo comprar ONE

¡Bienvenido a HTX.com! Hemos hecho que comprar Harmony (ONE) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar Harmony (ONE) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu Harmony (ONE)Después de comprar tu Harmony (ONE), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear Harmony (ONE)Tradear fácilmente con Harmony (ONE) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

551 Vistas totalesPublicado en 2024.12.12Actualizado en 2026.06.02

Cómo comprar ONE

Discusiones

Bienvenido a la comunidad de HTX. Aquí puedes mantenerte informado sobre los últimos desarrollos de la plataforma y acceder a análisis profesionales del mercado. A continuación se presentan las opiniones de los usuarios sobre el precio de ONE (ONE).

活动图片