Dulu, ketika developer saling bertukar, mereka berbagi template prompt.
Sekarang, trennya berubah. Yang dibicarakan dan ditanyakan sekarang adalah, "Skill apa yang harus kamu instal?"
Di balik ini, ada pergeseran yang lebih besar: Tools pemrograman AI mulai "menginstal package".
Pada 17 Januari pagi, CEO Vercel, Guillermo Rauch, membuat postingan di X: Kami meluncurkan skills — "npm" untuk skill AI.
Yang dimaksud "npm" di sini adalah package manager yang digunakan front-end engineer setiap hari, cukup satu baris perintah untuk memasang karya orang lain ke proyekmu.
Maksud Rauch adalah: Pengalaman "satu baris perintah untuk menginstal karya orang lain" ini, kali ini akan dipindahkan ke dunia AI.

"Bapak Lobster" Peter Steinberger langsung membalas: "Keren! Harus disinkronkan dengan ClawHub."

ClawHub adalah pasar skill untuk ekosistem agen cerdas lain, bukan bagian dari Vercel. Tapi reaksi pertama Peter adalah "harus diselaraskan".
Tiga hari kemudian, Vercel secara resmi mengumumkannya di changelog: sebuah alat command line untuk menginstal dan mengelola paket kemampuan untuk agen cerdas.
Repository resmi ini, vercel-labs/skills, hanya dalam lima bulan setelah rilis, bintang GitHub-nya sudah mencapai 24 ribu.

Kenapa bisa sepopuler ini? Sederhana sekali, cuma satu baris perintah:
npx skills add .
Intinya, ini adalah package manager untuk agen AI (AI agent).
Seperti npm yang digunakan front-end engineer setiap hari, satu baris perintah memasang hasil karya orang lain ke proyek, hanya saja kali ini yang diinstal bukan pustaka kode, melainkan "kemampuan".
Yang lebih keren lagi, ia tidak pilih-pilih alat. Claude Code, Cursor, Codex, Gemini CLI...... Agen cerdas yang didukung resmi sudah lebih dari 68. Satu paket kemampuan, diinstal di alat mana pun bisa jalan.
Vercel juga sekaligus meluncurkan skills.sh, sebuah direktori skill plus peringkat jumlah instalasi, skill mana yang populer, sudah diinstal berapa kali, semuanya terlihat jelas.
Paket yang berada di puncak bernama find-skills, jumlah instalasinya sudah mencapai 2,3 juta kali.

Peringkat jumlah instalasi direktori skill skills.sh, find-skills dengan 2,3 juta kali (2.3M) instalasi menempati posisi teratas, diikuti oleh frontend-design, vercel-react-best-practices, dll. (Sumber: skills.sh)
Kemampuan pemrograman AI, untuk pertama kalinya memiliki peringkat "unduhan populer".
Satu Baris Perintah
AI Belajar Satu Keterampilan Baru
Mari kita lihat apa yang sebenarnya dilakukannya.
npx skills add vercel-labs/agent-skills, enter.
Beberapa detik kemudian, Claude Code-mu mendapatkan seperangkat standar engineering React, Next.js, plus seperangkat prinsip desain. Lain kali ia menulis kode, secara otomatis akan mengikuti aturan ini.
Hal ini, secara resmi disebut "paket skill". Pada dasarnya adalah sebuah folder, intinya adalah sebuah file SKILL.md dengan header YAML, yang menjelaskan dua hal: skill ini apa, dan kapan harus digunakan.
Di dalam folder juga bisa diletakkan dokumentasi referensi, template, serta direktori scripts/ khusus, berisi skrip yang bisa langsung dieksekusi.
Ia memecahkan masalah yang sangat nyata.
Model memahami bahasa pemrograman dan framework secara umum, tapi ia tidak mengerti "aturan lokal" proyekmu: gaya koding kalian, kebiasaan penamaan, jebakan yang pernah dialami.
Dulu ini hanya bisa diandalkan dengan kamu menjelaskan berulang kali setiap kali memulai percakapan baru. Sekarang, dikemas menjadi satu skill, diinstal sekali, berlaku jangka panjang.
Setelah diinstal, kamu bisa mengelolanya seperti mengelola package npm: list untuk melihat yang sudah diinstal, update untuk pembaruan satu klik, remove untuk menghapus.
Di baliknya ada seperangkat standar yang dibagikan, skill yang kamu instal untuk Claude Code, dipindah ke Cursor pun tetap berjalan.
Jika bahkan menginstal pun dianggap merepotkan, ada cara yang lebih ringan: tidak usah diinstal, langsung digunakan.
Satu perintah npx skills use, menarik skill sementara, di-pipe dan dimasukkan ke Claude untuk dijalankan, habis pakai langsung selesai, bahkan direktori lokal tidak akan "terkotori".
Dulu batas kemampuan AI, bergantung pada bagaimana kamu mendeskripsikannya. Sekarang, kemampuan berubah menjadi paket-paket yang bisa langsung diambil dari rak.
"Npm-isasi" Lapisan Tool AI
Banyak orang mungkin menganggapnya sebagai fitur baru Claude. Tapi ia berasal dari Vercel, bukan kemampuan native Anthropic.
Claude Code, Cursor, Codex, GitHub Copilot, Windsurf...... semuanya adalah objek yang didukung, skills CLI menghubungkan semuanya, menjadi satu pintu masuk yang terpadu.
Di balik pintu masuk itu, lapisan tool AI mulai "dinpm-kan".
Vercel mengemas pengalaman-pengalaman yang tersebar ini menjadi modul yang bisa digunakan kembali, bisa didistribusikan, dan bisa dikelola versinya.
Kemampuan AI, sedang bergerak dari "rekayasa prompt" menuju "rekayasa kemampuan". Yang pertama menyelesaikan "bagaimana mengatakannya kali ini", yang terakhir menyelesaikan "hal ini akan dilakukan seperti ini selamanya".
Strategi ini, Vercel sudah memainkannya sekali.
Dulu ia mengandalkan Next.js untuk menguasai pintu masuk deployment seluruh ekosistem front-end, developer front-end tidak bisa menghindarinya.
Sekarang ia ingin menceritakan kisah yang sama lagi di lapisan agen cerdas AI ini.
Find Skills
Untuk Pertama Kalinya, AI Memiliki "Mesin Pencari Kemampuan"
Yang paling terasa futuristik adalah Find Skills, ini adalah "skill untuk mencari skill".

Definisi resmi skill find-skills — Ketika pengguna bertanya "bagaimana melakukan X" "apakah ada skill yang bisa...", atau ingin memperluas kemampuan, ia bertugas menemukan dan menginstal skill agen cerdas yang sesuai.
Kamu mengatakan "bantu saya melakukan X", maka ia akan menjalankan seluruh proses untukmu: mencari, menyaring, menginstal yang paling cocok.
Yang lebih memudahkan adalah ia juga memiliki pemeriksaan kualitas bawaan. Saat memilih skill, ia akan melihat jumlah instalasi, membandingkan sumber, yang populer, yang berasal dari sumber resmi diutamakan, yang berasal dari sumber tidak jelas akan mengingatkanmu untuk berhati-hati.

Kode sumber SKILL.md skill find-skills, secara eksplisit menuliskan tiga aturan pemeriksaan kualitas sebelum merekomendasikan: prioritas jumlah instalasi 1000+, waspada di bawah 100, sumber prioritas Vercel, Anthropic, Microsoft, dll. sumber resmi, repository bintang di bawah 100 harus dipertanyakan.
Ini berarti, untuk pertama kalinya AI memiliki "mesin pencari kemampuan" sendiri. Kamu tidak perlu tahu skill apa saja yang ada, namanya apa, cukup katakan mau melakukan apa, sisanya serahkan padanya untuk mencari.
Yang lebih penting, ini tidak hanya berguna bagi programmer.
Yang paling menderita oleh "kemampuan terpisah-pisah" ini sebenarnya adalah desainer, manajer produk, pembuat konten, dll. yang mengandalkan AI untuk menulis kode.
Mereka tidak memiliki kebiasaan engineering, commit git, dokumentasi standar semuanya mengandalkan AI, justru paling membutuhkan paket skill siap pakai untuk menopang.
Find Skills memberi mereka pintu masuk untuk dapat mengerahkan kemampuan tanpa perlu paham seluk-beluknya.
Di Balik Keriuhan
Ada Sebuah "Tagihan" yang Tidak Ada yang Menanggung
Kedengarannya indah, tapi jangan terburu-buru bersemangat.
Kembali ke direktori scripts itu. Skill membawa logika eksekusi, bukan beberapa penjelasan yang tidak berbahaya, ia benar-benar akan menjalankan perintah di komputermu.
Tapi file apa saja yang disentuh oleh package pihak ketiga yang kamu instal sembarangan, kebanyakan orang tidak melihatnya.
Berapa banyak bahaya yang mungkin tersembunyi di dalamnya?
Penelitian ToxicSkills oleh perusahaan keamanan Snyk, melakukan audit pertama kali secara sistematis terhadap 3984 skill di ClawHub dan skills.sh: lebih dari sepertiga memiliki cacat keamanan, 13,4% (534) termasuk tingkat serius, meliputi distribusi malware, injeksi prompt, kebocoran kunci rahasia.
Ini berarti rata-rata 1 dari setiap 7 atau 8 skill dapat langsung merugikanmu.

Penelitian "ToxicSkills" Snyk mengaudit 3984 skill: 1467 (36,82%) memiliki cacat keamanan apa pun, di antaranya 534 (13,4%) adalah tingkat serius, 76 muatan berbahaya telah dikonfirmasi, dan 8 lainnya masih ada di ClawHub hingga saat ini. (Sumber: Snyk)
Lembaga lain, Koi Security, mengaudit 2857 skill, menemukan 341 yang berbahaya.
Metode utamanya, tidak lain dua jalan.
Satu adalah melalui skrip, membuat AI-mu pergi ke IP asing untuk mengunduh sesuatu dan langsung mengeksekusinya, atau mencuri membaca konfigurasi SSH, AWS-mu;
Yang lain lebih tersembunyi, langsung meracuni teks di SKILL.md, AI membaca instruksi tersembunyi penyerang sebagai instruksi kerja yang sah, dan melakukannya.
Yang paling parah bahkan secara khusus mencuri file memori tempat agen cerdas menyimpan percakapan pribadi.
Kamu mungkin berkata, npm juga setiap hari meledakkan keracunan, tapi kali ini bahayanya pada tingkat yang berbeda.
npm menginstal kode murni, data dan instruksi dapat dipisahkan; skill menghapus batas ini, ia adalah prompt, kode, dan izin penuh yang digabungkan menjadi satu, satu SKILL.md saja dapat mengubah perilaku agen cerdas, dan langsung terhubung ke sistem file, jaringan, dan shell-mu.
Bahaya npm paling-paling meledakkan hasil build, bahaya skill langsung menuju kredensial lokal dan seluruh repositori kode-mu.
Tentu saja, ini bukan menyarankanmu untuk tidak menginstal. Vercel sendiri juga mengingatkan: Perlakukan skill seperti kode, baca dulu sebelum menginstal, berhati-hati ekstra terhadap direktori scripts.
Satu penilaian yang paling sederhana adalah, jumlah unduhan besar tidak sama dengan aman, yang sebenarnya harus dilihat adalah sumber dan izin. Skill untuk memeriksa cuaca, meminta izin membaca kunci SSH server-mu, untuk apa itu?
"Momen npm" untuk kemampuan AI yang sudah dinanti-nantikan benar-benar telah tiba.
Hanya saja, ia tidak hanya membawa kenyamanan, bahkan masalah yang pernah dialami npm selama bertahun-tahun juga dikemas dan dikirim sekaligus, bahkan sebelum ekosistem matang.
Satu baris perintah untuk menginstal kemampuan memang sangat menyenangkan, tapi jalan ini baru saja dimulai. Ia membuatmu menggunakan kembali keahlian yang disimpan rekan sejawat, sekaligus membutuhkanmu untuk masuk dengan penilaian.
Memilih package, melihat sumber, memverifikasi izin, keahlian lama developer ini, kali ini juga harus dibawa.
Dua Puluh Tahun
Satu Baris Perintah
Pada akhirnya, titik awal dari semua ini adalah CEO Vercel, Guillermo Rauch.
Dia berasal dari wilayah Lanús, Buenos Aires, Argentina. Menurutnya sendiri, sebagian besar karier hidupnya berutang pada Web dan open source.
Di masa mudanya dia sangat antusias mempromosikan Linux, mengajari orang menggunakannya, kemudian menyelami JavaScript; Setelah bergabung dengan tim inti proyek open source MooTools, pada usia 18 tahun dia mendapatkan pekerjaan penuh waktu pertamanya sebagai front-end engineer, pindah ke San Francisco.

Guillermo Rauch
Karya terkenalnya salah satunya adalah Socket.io: sebuah pustaka komunikasi real-time yang banyak digunakan, sinkronisasi real-time Notion, produk perdagangan pertama Coinbase, di baliknya semuanya berjalan di atasnya.
Setelah itu dia melihat satu arah: membuat alat dan infrastruktur cloud, membuat Web lebih cepat, membawa pengalaman developer ke tingkat tertinggi. Next.js dan Vercel pun lahir.
Sekarang platform ini menopang bisnis online perusahaan seperti The Washington Post, Porsche, Under Armour, Nintendo.
Dan jurus pamungkas Vercel yang sesungguhnya tersembunyi di sini: menulis kode, pratinjau, online, semua selesai dengan satu baris perintah. Developer yang sudah menggunakannya, sulit keluar dari sistem ini.
Pada dasarnya, Rauch selama dua puluh tahun hanya melakukan satu hal: mengompresi rekayasa yang tadinya rumit, menjadi satu baris perintah yang berani dijalankan developer dengan mata tertutup.
Dari satu baris now untuk memulai server, ke Next.js, hingga hari ini npx skills add, keahlian yang sama, kali ini dipindahkan ke tubuh agen cerdas AI.
Referensi:
https://github.com/vercel-labs/skills#supported-agents
https://www.skills.sh/
https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/
Artikel ini berasal dari akun WeChat "新智元" (New Wisdom Source), penulis: ASI启示录, editor: 元宇






