2,4k étoiles en un clin d'œil : avec une seule commande, l'IA apprend à trouver ses propres compétences

marsbitPublié le 2026-07-06Dernière mise à jour le 2026-07-06

Résumé

Le projet « skills » de Vercel, une sorte de gestionnaire de paquets « npm » pour les agents d'IA, connaît un succès fulgurant avec 24 000 étoiles sur GitHub. Il permet aux développeurs d'ajouter des compétences (skills) à leurs assistants IA (comme Claude Code, Cursor) via une simple commande : `npx skills add <package>`. Ces paquets encapsulent des connaissances spécifiques (bonnes pratiques React, conventions d'équipe) dans un dossier contenant un fichier SKILL.md et éventuellement des scripts. La plateforme skills.sh propose un répertoire et un classement des paquets les plus populaires, comme « find-skills » (2,3 millions d'installations). Cette « compétence » permet à l'IA de rechercher et d'installer automatiquement d'autres skills pertinents en fonction d'une demande utilisateur, agissant comme un moteur de recherche de capacités. Cependant, cette commodité s'accompagne de risques de sécurité majeurs. Des audits (comme celui de Snyk « ToxicSkills ») révèlent qu'une part significative des skills tiers contient des vulnérabilités ou des charges malveillantes, pouvant conduire à des injections de prompt, des fuites de clés ou l'exécution de code arbitraire. Contrairement à npm, les skills mélangent instructions, code et accès système, amplifiant les menaces. En somme, Vercel réplique dans l'ère de l'IA sa stratégie réussie avec Next.js : simplifier et standardiser des flux complexes en une commande. Mais l'écosystème naissant des compétences d'IA hérite aussi des pièg...

Autrefois, les développeurs échangeaient des modèles de prompts.

Maintenant, la tendance a changé. On se demande mutuellement quelle compétence (skill) il faut installer.

Derrière cela se cache un changement plus profond : les outils de programmation par IA commencent à « installer des paquets ».

Le 17 janvier de cette année, en début de matinée, Guillermo Rauch, fondateur et PDG de Vercel, a publié un tweet sur X : Nous lançons skills – le « npm » des compétences d'IA.

Le fameux « npm » est ce gestionnaire de paquets que les ingénieurs front-end utilisent quotidiennement, permettant d'installer en une ligne de commande le travail d'autrui dans son propre projet.

Le sous-entendu de Rauch est le suivant : cette expérience d'« installer le travail des autres en une seule ligne de commande » va désormais s'appliquer à l'IA.

Peter Steinberger, « le père de la langouste », a immédiatement répondu : « Cool ! Il faut que je me synchronise avec ClawHub. »

ClawHub est un autre marché de compétences pour l'écosystème des agents intelligents, distinct de Vercel. Pourtant, la première réaction de Peter a été de « s'aligner ».

Trois jours plus tard, Vercel l'a officiellement annoncé dans son journal de mise à jour : un outil en ligne de commande pour installer et gérer des paquets de capacités pour les agents intelligents.

Ce dépôt officiel, vercel-labs/skills, a atteint 24 000 étoiles sur GitHub en seulement cinq mois.

Pourquoi un tel succès ? C'est d'une simplicité extrême : une seule ligne de commande :

npx skills add .

En clair, c'est un gestionnaire de paquets pour agents intelligents (AI agents).

Comme npm, utilisé quotidiennement par les ingénieurs front-end, une ligne de commande installe le travail d'autrui dans un projet. Sauf que cette fois, ce ne sont pas des bibliothèques de code qui sont installées, mais des « capacités ».

Plus impressionnant encore, il n'est lié à aucun outil spécifique. Claude Code, Cursor, Codex, Gemini CLI... Plus de 68 agents intelligents sont officiellement supportés. Un même paquet de capacités peut fonctionner quel que soit l'outil utilisé.

Vercel a également lancé skills.sh, un catalogue de compétences avec un classement des installations. On y voit en un coup d'œil quelles compétences sont populaires et combien de fois elles ont été installées.

Le paquet en tête, nommé find-skills, a déjà atteint 2,3 millions d'installations.

Classement des installations du catalogue de compétences skills.sh. find-skills arrive en tête avec 2,3 millions d'installations (2.3M), suivi par frontend-design, vercel-react-best-practices, etc. (Source : skills.sh)

Pour la première fois, les capacités de programmation par IA ont leur « top téléchargements ».

Une ligne de commande

L'IA apprend un nouveau métier

Voyons d'abord ce qu'il fait concrètement.

Tapez npx skills add vercel-labs/agent-skills et appuyez sur Entrée.

Quelques secondes plus tard, votre Claude Code se voit doté d'un ensemble de bonnes pratiques d'ingénierie pour React, Next.js, ainsi que de principes de design. La prochaine fois qu'il écrira du code, il suivra automatiquement ces règles.

Cet ensemble, officiellement appelé « paquet de compétences (skill) », est essentiellement un dossier. Son cœur est un fichier SKILL.md avec un en-tête YAML, précisant deux choses : ce qu'est cette compétence, et quand l'utiliser.

Le dossier peut également contenir de la documentation, des modèles, ainsi qu'un répertoire scripts/ dédié contenant des scripts exécutables.

Il résout une problématique très pratique.

Le modèle comprend les langages de programmation et frameworks généraux, mais il ne connaît pas les « règles maison » de votre projet : votre style de code, vos conventions de nommage, les pièges que vous avez rencontrés.

Auparavant, il fallait répéter tout cela à chaque nouvelle conversation. Maintenant, on peut le regrouper dans un skill, l'installer une fois, et il reste actif.

Après l'installation, on peut le gérer comme un paquet npm : list pour voir ce qui est installé, update pour le mettre à jour en un clic, remove pour le supprimer.

Sous le capot, un ensemble de normes partagées permet à un skill installé pour Claude Code de fonctionner également sur Cursor.

Et si même l'installation est jugée trop lourde, il existe une méthode encore plus légère : ne pas l'installer, l'utiliser directement.

Un simple npx skills use récupère temporairement la compétence, la transfère via un pipeline vers Claude pour l'exécuter, puis la supprime après usage, sans même « salir » le répertoire local.

Les limites des capacités de l'IA dépendaient autrefois de votre façon de les décrire. Désormais, les capacités sont devenues des paquets directement accessibles sur des étagères.

La « npmisation » de la couche outil de l'IA

Beaucoup pourraient le considérer comme une nouvelle fonctionnalité de Claude. Mais il vient de Vercel, ce n'est pas une capacité native d'Anthropic.

Claude Code, Cursor, Codex, GitHub Copilot, Windsurf... Tous sont des cibles supportées, skills CLI les intègre d'un coup, offrant une entrée unifiée.

Derrière cette entrée, la couche outil de l'IA commence à se « npmiser ».

Vercel encapsule ces expériences disparates en modules réutilisables, distribuables et versionnables.

Les capacités de l'IA évoluent de l'« ingénierie des prompts » vers l'« ingénierie des capacités (capability engineering) ». La première résout le « comment le dire cette fois-ci », la seconde résout le « comment faire cette chose systématiquement à l'avenir ».

Cette stratégie, Vercel l'a déjà employée.

À l'époque, avec Next.js, elle a verrouillé le point d'entrée du déploiement de tout l'écosystème front-end. Les développeurs front-end ne pouvaient l'éviter.

Aujourd'hui, elle souhaite rejouer le même scénario au niveau des agents intelligents de l'IA.

Find Skills

L'IA a son premier « moteur de recherche de capacités »

Le coup le plus futuriste est Find Skills, une « compétence pour trouver des compétences ».

La définition officielle du skill find-skills – lorsque l'utilisateur demande « comment faire X », « existe-t-il une compétence pour... », ou souhaite étendre ses capacités, il est chargé de découvrir et d'installer la compétence d'agent intelligent correspondante.

Dites simplement « aide-moi à faire X », et il exécute pour vous tout le processus : recherche, sélection, installation du meilleur match.

Encore plus pratique, il intègre un contrôle qualité. Lorsqu'il choisit un skill, il examine le nombre d'installations, compare les sources, privilégie ceux qui sont populaires ou d'origine officielle, et vous avertit de vous méfier de ceux d'origine douteuse.

Le code source du fichier SKILL.md du skill find-skills intègre explicitement trois règles de validation qualité avant recommandation : priorité aux installations 1000+, méfiance envers celles en dessous de 100, priorité aux sources officielles comme Vercel, Anthropic, Microsoft, suspicion envers les dépôts avec moins de 100 étoiles.

Cela signifie que, pour la première fois, l'IA dispose de son propre « moteur de recherche de capacités ». Vous n'avez pas besoin de connaître les compétences disponibles ou leurs noms. Dites simplement ce que vous voulez faire, et il se charge de le trouver.

Plus important encore, il n'est pas seulement utile aux programmeurs.

Ceux qui souffrent le plus des « capacités non intégrées » sont précisément les designers, chefs de produit, créateurs de contenu qui utilisent l'IA pour écrire du code.

Ils n'ont pas l'habitude de l'ingénierie, ils s'appuient entièrement sur l'IA pour les commits Git, la documentation, et ont donc le plus besoin de paquets de compétences prêts à l'emploi pour les soutenir.

Find Skills leur offre une porte d'entrée leur permettant de commander des troupes sans avoir besoin d'être experts.

Derrière l'effervescence

Se cache une facture sans garantie

Cela semble magnifique, mais ne vous emballez pas trop vite.

Revenons au répertoire scripts. Les compétences contiennent de la logique d'exécution, pas seulement des instructions inoffensives. Elles peuvent réellement exécuter des commandes sur votre ordinateur.

Mais quels fichiers un paquet tiers installé à la hâte modifie-t-il réellement ? La plupart des gens ne le vérifient pas.

Combien de pièges potentiels cela cache-t-il ?

L'étude ToxicSkills de la société de sécurité Snyk, première analyse systématique de 3984 compétences sur ClawHub et skills.sh, révèle que plus d'un tiers présente des défauts de sécurité, 13,4% (534) sont de niveau critique, couvrant la distribution de logiciels malveillants, l'injection de prompts, la fuite de clés.

Cela signifie qu'en moyenne, 1 sur 7 ou 8 peut directement vous nuire.

L'étude « ToxicSkills » de Snyk analyse 3984 compétences : 1467 (36,82%) présentent au moins un défaut de sécurité, dont 534 (13,4%) de niveau critique, 76 charges malveillantes confirmées, et 8 encore présentes sur ClawHub. (Source : Snyk)

Un autre organisme, Koi Security, a audité 2857 compétences et en a identifié 341 comme malveillantes.

Les principales méthodes suivent deux voies.

La première passe par les scripts, envoyant votre IA télécharger des éléments depuis des IP inconnues pour les exécuter localement, ou volant la lecture de vos configurations SSH, AWS.

L'autre est plus insidieuse, empoisonnant directement le texte du fichier SKILL.md. L'IA lit les instructions cachées de l'attaquant comme s'il s'agissait de consignes de travail légitimes et les exécute.

Les plus virulents volent spécifiquement les fichiers de mémoire où les agents stockent les conversations privées.

Vous pourriez dire que npm est également constamment victime d'empoisonnement, mais cette fois, le risque est d'un autre ordre.

npm installe du code pur, les données et les instructions sont séparées. Skill efface cette frontière : il fusionne le prompt, le code et des autorisations complètes. Un simple fichier SKILL.md peut modifier le comportement de l'agent intelligent, avec un accès direct à votre système de fichiers, votre réseau et votre shell.

Les risques liés à npm n'affectent au pire que les artefacts de construction. Les risques liés aux skills donnent un accès direct à vos identifiants locaux et à l'ensemble de votre base de code.

Bien sûr, ce n'est pas pour vous décourager d'installer. Vercel lui-même met en garde : considérez les skills comme du code, lisez-les avant installation, soyez particulièrement vigilant avec le répertoire scripts.

Une règle de base simple est que le volume de téléchargements n'égale pas la sécurité. Ce qu'il faut vraiment examiner, c'est la source et les autorisations. Une compétence pour vérifier la météo qui demande à lire vos clés SSH de serveur, à quoi cela lui sert-il ?

Le moment tant attendu du « npm » pour les capacités d'IA est enfin arrivé.

Mais il n'apporte pas que des commodités. Il envoie également, emballés, tous les écueils que npm a rencontrés au fil des ans, et ce, avant même que l'écosystème ne soit mature.

Installer des capacités en une ligne de commande est certes très agréable, mais cette route ne fait que commencer. Elle vous permet de réutiliser l'expertise cumulée par vos pairs, mais exige également que vous y participiez avec du jugement.

Sélectionner les paquets, vérifier la source, valider les autorisations, ces compétences ancestrales des développeurs, il faut également les appliquer cette fois-ci.

Vingt ans

Une ligne de commande

En fin de compte, tout cela a commencé avec Guillermo Rauch, fondateur de Vercel.

Il vient du quartier de Lanús à Buenos Aires, en Argentine. Selon ses propres termes, une grande partie de sa carrière est redevable au Web et à l'open source.

Dans sa jeunesse, passionné par la promotion de Linux, il enseignait aux autres comment l'utiliser, avant de se plonger dans JavaScript. Après avoir rejoint l'équipe centrale du projet open source MooTools, il a obtenu à 18 ans son premier emploi à temps plein d'ingénieur front-end et a déménagé à San Francisco.

Guillermo Rauch

L'une de ses œuvres célèbres est Socket.io : une bibliothèque de communication en temps réel largement utilisée. La synchronisation en temps réel de Notion, les premiers produits de trading de Coinbase reposent sur elle.

Ensuite, il s'est concentré sur un objectif : créer des outils et une infrastructure cloud pour accélérer le Web et offrir une expérience développeur ultime. Next.js et Vercel sont nés de cette ambition.

Aujourd'hui, cette plateforme supporte les activités en ligne de sociétés comme le Washington Post, Porsche, Under Armour, Nintendo.

Et le véritable atout de Vercel se cache ici : écrire du code, le prévisualiser, le déployer, le tout avec une seule commande. Une fois que les développeurs l'adoptent, il est difficile de sortir de cet écosystème.

En fin de compte, Rauch ne fait qu'une seule chose depuis vingt ans : compresser des tâches d'ingénierie complexes en une seule ligne de commande que les développeurs osent exécuter les yeux fermés.

D'une ligne now pour démarrer un serveur, à Next.js, et maintenant à npx skills add, la même expertise est cette fois-ci appliquée aux agents intelligents de l'IA.

Références:

https://github.com/vercel-labs/skills#supported-agents

https://www.skills.sh/

https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/

Cet article provient du compte officiel WeChat « 新智元 », auteur : ASI启示录, éditeur : 元宇

Cryptos en tendance

Questions liées

QQu'est-ce que Vercel a lancé en matière de gestion des compétences pour les agents IA ?

AVercel a lancé `skills`, un gestionnaire de paquets pour les agents IA, similaire à npm pour les développeurs front-end. Avec une simple commande comme `npx skills add `, les utilisateurs peuvent installer et gérer des 'compétences' (skills) - des paquets encapsulant des savoir-faire spécifiques comme des conventions de code ou des pratiques de conception - pour leur assistant IA (Claude Code, Cursor, etc.).

QQuel est le nom de la compétence la plus populaire et que fait-elle ?

ALa compétence la plus populaire est `find-skills`. Avec plus de 2,3 millions d'installations, elle agit comme un 'moteur de recherche de compétences'. Lorsqu'un utilisateur demande comment accomplir une tâche, cette compétence recherche, sélectionne et installe automatiquement la compétence la plus adaptée depuis le référentiel, en appliquant des critères de qualité comme le nombre d'installations et la fiabilité de la source.

QQuels sont les principaux risques de sécurité associés à l'installation de compétences AI depuis des dépôts publics ?

ALes principaux risques incluent : l'exécution de scripts malveillants pouvant voler des identifiants (comme les clés SSH ou AWS), les injections de prompt (instructions cachées dans la documentation qui détournent le comportement de l'IA), et l'exfiltration de données privées. Des audits ont révélé qu'environ 13,4% des compétences présentaient des vulnérabilités critiques, car elles combinent du code exécutable, des instructions en langage naturel et un accès direct au système.

QEn quoi le concept de 'skills' pour l'IA représente-t-il un changement par rapport à l'ingénierie de prompts ?

ACela marque un passage de l'ingénierie de prompts ('prompt engineering'), qui consiste à optimiser les instructions pour une tâche ponctuelle, à l'ingénierie des capacités ('capability engineering'). Les 'skills' encapsulent de manière réutilisable et versionnée un savoir-faire durable (conventions, flux de travail), évitant ainsi de devoir répéter les mêmes explications à chaque nouvelle conversation avec l'agent IA.

QQuelle est la vision à long terme de Guillermo Rauch, le fondateur de Vercel, derrière ce projet ?

ALa vision de Guillermo Rauch, cohérente avec son parcours (Socket.io, Next.js, Vercel), est de simplifier et de standardiser des processus complexes pour les développeurs. Avec `skills`, il applique cette philosophie au domaine émergent des agents IA. Son objectif est de créer l'infrastructure et l'écosystème de référence ('le npm des agents IA') pour la gestion et le partage des capacités, capturant ainsi une nouvelle couche essentielle du flux de travail des développeurs.

Lectures associées

La probabilité chute en dessous de 50 % : la loi Clarity n'aura pas lieu cette année ?

Le projet de loi Clarity Act, destiné à établir le premier cadre fédéral complet de régulation des actifs numériques aux États-Unis, est confronté à des incertitudes quant à son adoption cette année. Initialement visé pour une signature le 4 juillet, cet objectif n'a pas été atteint, et la fenêtre législative avant les élections de mi-mandat se réduit rapidement. Le texte, qui vise à clarifier les compétences de la SEC et de la CFTC, ainsi qu'à régir les stablecoins, le blanchiment d'argent et les règles pour les développeurs DeFi, a été adopté par la Chambre des représentants en juillet 2025 et par la commission bancaire du Sénat en mai 2026. Cependant, des désaccords persistants sur les revenus des stablecoins, l'exemption de responsabilité des développeurs DeFi et des questions éthiques liées à l'application de la loi ont bloqué un vote final avant les vacances parlementaires. Des négociations en juin ont échoué sur une clause éthique controversée. Malgré quelques signes positifs, comme le changement de position d'une association de shérifs, les principaux obstacles subsistent. Le marché, selon Polymarket, n'évalue la probabilité d'une promulgation cette année qu'à 49%. Les analystes soulignent que l'adoption du loi pourrait accélérer l'adoption institutionnelle de la cryptomonnaie, tandis qu'un retard prolongerait l'incertitude réglementaire.

Foresight NewsIl y a 6 mins

La probabilité chute en dessous de 50 % : la loi Clarity n'aura pas lieu cette année ?

Foresight NewsIl y a 6 mins

Trading

Spot

Articles tendance

Comment acheter ONE

Bienvenue sur HTX.com ! Nous vous permettons d'acheter Harmony (ONE) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément Harmony (ONE).Solde :utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers :pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P :tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos Harmony (ONE)Après avoir acheté vos Harmony (ONE), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des Harmony (ONE)Tradez facilement Harmony (ONE) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

456 vues totalesPublié le 2024.12.12Mis à jour le 2026.06.02

Comment acheter ONE

Discussions

Bienvenue dans la Communauté HTX. Ici, vous pouvez vous tenir informé(e) des derniers développements de la plateforme et accéder à des analyses de marché professionnelles. Les opinions des utilisateurs sur le prix de ONE (ONE) sont présentées ci-dessous.

活动图片