Autrefois, les développeurs échangeaient des modèles de prompts.
Maintenant, la tendance a changé. On se demande mutuellement quelle compétence (skill) il faut installer.
Derrière cela se cache un changement plus profond : les outils de programmation par IA commencent à « installer des paquets ».
Le 17 janvier de cette année, en début de matinée, Guillermo Rauch, fondateur et PDG de Vercel, a publié un tweet sur X : Nous lançons skills – le « npm » des compétences d'IA.
Le fameux « npm » est ce gestionnaire de paquets que les ingénieurs front-end utilisent quotidiennement, permettant d'installer en une ligne de commande le travail d'autrui dans son propre projet.
Le sous-entendu de Rauch est le suivant : cette expérience d'« installer le travail des autres en une seule ligne de commande » va désormais s'appliquer à l'IA.

Peter Steinberger, « le père de la langouste », a immédiatement répondu : « Cool ! Il faut que je me synchronise avec ClawHub. »

ClawHub est un autre marché de compétences pour l'écosystème des agents intelligents, distinct de Vercel. Pourtant, la première réaction de Peter a été de « s'aligner ».
Trois jours plus tard, Vercel l'a officiellement annoncé dans son journal de mise à jour : un outil en ligne de commande pour installer et gérer des paquets de capacités pour les agents intelligents.
Ce dépôt officiel, vercel-labs/skills, a atteint 24 000 étoiles sur GitHub en seulement cinq mois.

Pourquoi un tel succès ? C'est d'une simplicité extrême : une seule ligne de commande :
npx skills add .
En clair, c'est un gestionnaire de paquets pour agents intelligents (AI agents).
Comme npm, utilisé quotidiennement par les ingénieurs front-end, une ligne de commande installe le travail d'autrui dans un projet. Sauf que cette fois, ce ne sont pas des bibliothèques de code qui sont installées, mais des « capacités ».
Plus impressionnant encore, il n'est lié à aucun outil spécifique. Claude Code, Cursor, Codex, Gemini CLI... Plus de 68 agents intelligents sont officiellement supportés. Un même paquet de capacités peut fonctionner quel que soit l'outil utilisé.
Vercel a également lancé skills.sh, un catalogue de compétences avec un classement des installations. On y voit en un coup d'œil quelles compétences sont populaires et combien de fois elles ont été installées.
Le paquet en tête, nommé find-skills, a déjà atteint 2,3 millions d'installations.

Classement des installations du catalogue de compétences skills.sh. find-skills arrive en tête avec 2,3 millions d'installations (2.3M), suivi par frontend-design, vercel-react-best-practices, etc. (Source : skills.sh)
Pour la première fois, les capacités de programmation par IA ont leur « top téléchargements ».
Une ligne de commande
L'IA apprend un nouveau métier
Voyons d'abord ce qu'il fait concrètement.
Tapez npx skills add vercel-labs/agent-skills et appuyez sur Entrée.
Quelques secondes plus tard, votre Claude Code se voit doté d'un ensemble de bonnes pratiques d'ingénierie pour React, Next.js, ainsi que de principes de design. La prochaine fois qu'il écrira du code, il suivra automatiquement ces règles.
Cet ensemble, officiellement appelé « paquet de compétences (skill) », est essentiellement un dossier. Son cœur est un fichier SKILL.md avec un en-tête YAML, précisant deux choses : ce qu'est cette compétence, et quand l'utiliser.
Le dossier peut également contenir de la documentation, des modèles, ainsi qu'un répertoire scripts/ dédié contenant des scripts exécutables.
Il résout une problématique très pratique.
Le modèle comprend les langages de programmation et frameworks généraux, mais il ne connaît pas les « règles maison » de votre projet : votre style de code, vos conventions de nommage, les pièges que vous avez rencontrés.
Auparavant, il fallait répéter tout cela à chaque nouvelle conversation. Maintenant, on peut le regrouper dans un skill, l'installer une fois, et il reste actif.
Après l'installation, on peut le gérer comme un paquet npm : list pour voir ce qui est installé, update pour le mettre à jour en un clic, remove pour le supprimer.
Sous le capot, un ensemble de normes partagées permet à un skill installé pour Claude Code de fonctionner également sur Cursor.
Et si même l'installation est jugée trop lourde, il existe une méthode encore plus légère : ne pas l'installer, l'utiliser directement.
Un simple npx skills use récupère temporairement la compétence, la transfère via un pipeline vers Claude pour l'exécuter, puis la supprime après usage, sans même « salir » le répertoire local.
Les limites des capacités de l'IA dépendaient autrefois de votre façon de les décrire. Désormais, les capacités sont devenues des paquets directement accessibles sur des étagères.
La « npmisation » de la couche outil de l'IA
Beaucoup pourraient le considérer comme une nouvelle fonctionnalité de Claude. Mais il vient de Vercel, ce n'est pas une capacité native d'Anthropic.
Claude Code, Cursor, Codex, GitHub Copilot, Windsurf... Tous sont des cibles supportées, skills CLI les intègre d'un coup, offrant une entrée unifiée.
Derrière cette entrée, la couche outil de l'IA commence à se « npmiser ».
Vercel encapsule ces expériences disparates en modules réutilisables, distribuables et versionnables.
Les capacités de l'IA évoluent de l'« ingénierie des prompts » vers l'« ingénierie des capacités (capability engineering) ». La première résout le « comment le dire cette fois-ci », la seconde résout le « comment faire cette chose systématiquement à l'avenir ».
Cette stratégie, Vercel l'a déjà employée.
À l'époque, avec Next.js, elle a verrouillé le point d'entrée du déploiement de tout l'écosystème front-end. Les développeurs front-end ne pouvaient l'éviter.
Aujourd'hui, elle souhaite rejouer le même scénario au niveau des agents intelligents de l'IA.
Find Skills
L'IA a son premier « moteur de recherche de capacités »
Le coup le plus futuriste est Find Skills, une « compétence pour trouver des compétences ».

La définition officielle du skill find-skills – lorsque l'utilisateur demande « comment faire X », « existe-t-il une compétence pour... », ou souhaite étendre ses capacités, il est chargé de découvrir et d'installer la compétence d'agent intelligent correspondante.
Dites simplement « aide-moi à faire X », et il exécute pour vous tout le processus : recherche, sélection, installation du meilleur match.
Encore plus pratique, il intègre un contrôle qualité. Lorsqu'il choisit un skill, il examine le nombre d'installations, compare les sources, privilégie ceux qui sont populaires ou d'origine officielle, et vous avertit de vous méfier de ceux d'origine douteuse.

Le code source du fichier SKILL.md du skill find-skills intègre explicitement trois règles de validation qualité avant recommandation : priorité aux installations 1000+, méfiance envers celles en dessous de 100, priorité aux sources officielles comme Vercel, Anthropic, Microsoft, suspicion envers les dépôts avec moins de 100 étoiles.
Cela signifie que, pour la première fois, l'IA dispose de son propre « moteur de recherche de capacités ». Vous n'avez pas besoin de connaître les compétences disponibles ou leurs noms. Dites simplement ce que vous voulez faire, et il se charge de le trouver.
Plus important encore, il n'est pas seulement utile aux programmeurs.
Ceux qui souffrent le plus des « capacités non intégrées » sont précisément les designers, chefs de produit, créateurs de contenu qui utilisent l'IA pour écrire du code.
Ils n'ont pas l'habitude de l'ingénierie, ils s'appuient entièrement sur l'IA pour les commits Git, la documentation, et ont donc le plus besoin de paquets de compétences prêts à l'emploi pour les soutenir.
Find Skills leur offre une porte d'entrée leur permettant de commander des troupes sans avoir besoin d'être experts.
Derrière l'effervescence
Se cache une facture sans garantie
Cela semble magnifique, mais ne vous emballez pas trop vite.
Revenons au répertoire scripts. Les compétences contiennent de la logique d'exécution, pas seulement des instructions inoffensives. Elles peuvent réellement exécuter des commandes sur votre ordinateur.
Mais quels fichiers un paquet tiers installé à la hâte modifie-t-il réellement ? La plupart des gens ne le vérifient pas.
Combien de pièges potentiels cela cache-t-il ?
L'étude ToxicSkills de la société de sécurité Snyk, première analyse systématique de 3984 compétences sur ClawHub et skills.sh, révèle que plus d'un tiers présente des défauts de sécurité, 13,4% (534) sont de niveau critique, couvrant la distribution de logiciels malveillants, l'injection de prompts, la fuite de clés.
Cela signifie qu'en moyenne, 1 sur 7 ou 8 peut directement vous nuire.

L'étude « ToxicSkills » de Snyk analyse 3984 compétences : 1467 (36,82%) présentent au moins un défaut de sécurité, dont 534 (13,4%) de niveau critique, 76 charges malveillantes confirmées, et 8 encore présentes sur ClawHub. (Source : Snyk)
Un autre organisme, Koi Security, a audité 2857 compétences et en a identifié 341 comme malveillantes.
Les principales méthodes suivent deux voies.
La première passe par les scripts, envoyant votre IA télécharger des éléments depuis des IP inconnues pour les exécuter localement, ou volant la lecture de vos configurations SSH, AWS.
L'autre est plus insidieuse, empoisonnant directement le texte du fichier SKILL.md. L'IA lit les instructions cachées de l'attaquant comme s'il s'agissait de consignes de travail légitimes et les exécute.
Les plus virulents volent spécifiquement les fichiers de mémoire où les agents stockent les conversations privées.
Vous pourriez dire que npm est également constamment victime d'empoisonnement, mais cette fois, le risque est d'un autre ordre.
npm installe du code pur, les données et les instructions sont séparées. Skill efface cette frontière : il fusionne le prompt, le code et des autorisations complètes. Un simple fichier SKILL.md peut modifier le comportement de l'agent intelligent, avec un accès direct à votre système de fichiers, votre réseau et votre shell.
Les risques liés à npm n'affectent au pire que les artefacts de construction. Les risques liés aux skills donnent un accès direct à vos identifiants locaux et à l'ensemble de votre base de code.
Bien sûr, ce n'est pas pour vous décourager d'installer. Vercel lui-même met en garde : considérez les skills comme du code, lisez-les avant installation, soyez particulièrement vigilant avec le répertoire scripts.
Une règle de base simple est que le volume de téléchargements n'égale pas la sécurité. Ce qu'il faut vraiment examiner, c'est la source et les autorisations. Une compétence pour vérifier la météo qui demande à lire vos clés SSH de serveur, à quoi cela lui sert-il ?
Le moment tant attendu du « npm » pour les capacités d'IA est enfin arrivé.
Mais il n'apporte pas que des commodités. Il envoie également, emballés, tous les écueils que npm a rencontrés au fil des ans, et ce, avant même que l'écosystème ne soit mature.
Installer des capacités en une ligne de commande est certes très agréable, mais cette route ne fait que commencer. Elle vous permet de réutiliser l'expertise cumulée par vos pairs, mais exige également que vous y participiez avec du jugement.
Sélectionner les paquets, vérifier la source, valider les autorisations, ces compétences ancestrales des développeurs, il faut également les appliquer cette fois-ci.
Vingt ans
Une ligne de commande
En fin de compte, tout cela a commencé avec Guillermo Rauch, fondateur de Vercel.
Il vient du quartier de Lanús à Buenos Aires, en Argentine. Selon ses propres termes, une grande partie de sa carrière est redevable au Web et à l'open source.
Dans sa jeunesse, passionné par la promotion de Linux, il enseignait aux autres comment l'utiliser, avant de se plonger dans JavaScript. Après avoir rejoint l'équipe centrale du projet open source MooTools, il a obtenu à 18 ans son premier emploi à temps plein d'ingénieur front-end et a déménagé à San Francisco.

Guillermo Rauch
L'une de ses œuvres célèbres est Socket.io : une bibliothèque de communication en temps réel largement utilisée. La synchronisation en temps réel de Notion, les premiers produits de trading de Coinbase reposent sur elle.
Ensuite, il s'est concentré sur un objectif : créer des outils et une infrastructure cloud pour accélérer le Web et offrir une expérience développeur ultime. Next.js et Vercel sont nés de cette ambition.
Aujourd'hui, cette plateforme supporte les activités en ligne de sociétés comme le Washington Post, Porsche, Under Armour, Nintendo.
Et le véritable atout de Vercel se cache ici : écrire du code, le prévisualiser, le déployer, le tout avec une seule commande. Une fois que les développeurs l'adoptent, il est difficile de sortir de cet écosystème.
En fin de compte, Rauch ne fait qu'une seule chose depuis vingt ans : compresser des tâches d'ingénierie complexes en une seule ligne de commande que les développeurs osent exécuter les yeux fermés.
D'une ligne now pour démarrer un serveur, à Next.js, et maintenant à npx skills add, la même expertise est cette fois-ci appliquée aux agents intelligents de l'IA.
Références:
https://github.com/vercel-labs/skills#supported-agents
https://www.skills.sh/
https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/
Cet article provient du compte officiel WeChat « 新智元 », auteur : ASI启示录, éditeur : 元宇






