Набирает 24 тыс. звезд: одной командой ИИ сам находит себе навыки

marsbitОпубликовано 2026-07-06Обновлено 2026-07-06

Введение

Vercel представил инструмент навыков (skills) для ИИ-агентов, набравший 24 000 звезд на GitHub. Это менеджер пакетов, подобный npm, который позволяет одной командой `npx skills add` устанавливать готовые наборы правил и скриптов — «навыки» — в различные ИИ-инструменты (Claude Code, Cursor и др.). Он решает проблему передачи проектных требований и лучших практик ИИ. Ключевой особенностью является навык `find-skills`, который автоматически находит и устанавливает нужные пакеты по описанию задачи, действуя как поисковик способностей для ИИ. Однако эксперты по безопасности предупреждают о рисках. Аудит тысяч навыков выявил, что многие содержат критические уязвимости или вредоносный код, способный украсть данные или выполнить произвольные команды. В отличие от npm, навыки напрямую влияют на поведение ИИ и имеют доступ к системе. Таким образом, инструмент открывает эру удобного обмена ИИ-способностями, но требует от пользователей осторожности и проверки источников устанавливаемых пакетов.

Раньше разработчики обменивались шаблонами промптов (prompt).

Сейчас ветер изменился. Все спрашивают друг друга: какой навык (skill) тебе стоит установить.

За этим кроется более масштабный сдвиг: инструменты ИИ-программирования начинают «ставить пакеты».

17 января этого года утром Гилермо Рауч (Guillermo Rauch), основатель и генеральный директор Vercel, написал в X пост: Мы запускаем skills — «npm» для навыков ИИ.

Под «npm» имеется в виду менеджер пакетов, который фронтенд-инженеры используют каждый день, одной командой можно установить в свой проект чужой готовый код.

Скрытый смысл Рауча был в том, что этот опыт «одной командой установить чужие наработки» теперь переносится на ИИ.

«Отец омаров» Питер Штайнбергер (Peter Steinberger) сразу же ответил: «Круто! Надо синхронизироваться с ClawHub».

ClawHub — это другой маркетплейс навыков для экосистемы агентов, не связанный с Vercel. Но первой реакцией Питера было «синхронизироваться».

Три дня спустя Vercel официально анонсировал его в changelog: инструмент командной строки для установки и управления пакетами возможностей (capability packages) для агентов.

Этот официальный репозиторий vercel-labs/skills, спустя всего пять месяцев после релиза, набрал на GitHub 24 тыс. звезд.

Почему такой ажиотаж? Всё просто до одной команды:

npx skills add .

Проще говоря, это менеджер пакетов для ИИ-агентов (AI agent).

Как npm, который фронтенд-инженеры используют каждый день, одной командой устанавливает в проект готовые вещи, только на этот раз устанавливаются не библиотеки кода, а «возможности».

Более того, он не привязан к инструменту. Claude Code, Cursor, Codex, Gemini CLI... Официально поддерживаемых агентов уже более 68. Один пакет возможностей можно запустить в любом инструменте.

Vercel также запустил skills.sh — каталог навыков с рейтингом по количеству установок. Какой навык популярен, сколько раз его установили — всё видно.

Пакет под названием find-skills возглавляет рейтинг, количество установок достигло 2,3 миллиона раз.

Рейтинг установок в каталоге skills.sh. find-skills лидирует с 2,3 млн установок, далее следуют frontend-design, vercel-react-best-practices и др. (Источник: skills.sh)

Возможности ИИ-программирования впервые получили рейтинг «горячих загрузок».

Одна команда

ИИ освоил новое ремесло

Давайте посмотрим, что же он делает.

npx skills add vercel-labs/agent-skills, Enter.

Через несколько секунд ваш Claude Code обзаводится набором инженерных стандартов для React, Next.js, а также набором дизайнерских принципов. В следующий раз, когда он будет писать код, он автоматически будет следовать этим правилам.

Этот набор официально называется «пакет навыков (skill)». По сути это папка, ядром которой является SKILL.md с YAML-заголовком, описывающая две вещи: что это за навык и когда его использовать.

В папку можно также положить справочную документацию, шаблоны и специальную директорию scripts/ с исполняемыми скриптами.

Он решает очень конкретную боль.

Модель понимает общие языки программирования и фреймворки, но не понимает «местные правила» вашего проекта: стиль кода, соглашения об именовании, пройденные грабли.

Раньше это приходилось каждый раз пересказывать в новом диалоге. Теперь всё упаковывается в skill, устанавливается один раз и действует долгосрочно.

После установки им можно управлять как npm-пакетом: list — посмотреть установленные, update — обновить одним щелчком, remove — удалить.

В основе лежит набор общих стандартов: то, что вы установили для Claude Code, будет работать и в Cursor.

Если даже установка кажется слишком трудоемкой, есть более легкий способ: не устанавливать, а использовать напрямую.

Команда npx skills use временно подтягивает навык, подключает через пайплайн и прогоняет через Claude, после чего удаляется, не «загрязняя» локальный каталог.

Раньше границы возможностей ИИ зависели от того, как вы их опишете. Теперь возможности превратились в пакеты на полке, которые можно просто взять.

«npm-изация» слоя ИИ-инструментов

Многие могут воспринять это как новую функцию Claude. Но он от Vercel, а не родная возможность Anthropic.

Claude Code, Cursor, Codex, GitHub Copilot, Windsurf... — все они являются поддерживаемыми объектами. Skills CLI подключает их всех, обеспечивая единую точку входа.

За этой точкой входа скрывается начавшаяся «npm-изация» слоя ИИ-инструментов.

Vercel упаковывает этот разрозненный опыт в модули, которые можно повторно использовать, распространять и управлять их версиями.

Возможности ИИ переходят от «инженерии промптов (prompt engineering)» к «инженерии возможностей (capability engineering)». Первое решает проблему «как сказать в этот раз», второе — «как это делать всегда».

Vercel уже играл по такой схеме.

Когда-то он с помощью Next.js захватил точку входа для развертывания всей фронтенд-экосистемы, фронтенд-разработчикам было не обойтись без него.

Теперь он хочет повторить ту же историю на уровне ИИ-агентов.

Find Skills

У ИИ впервые появился «поисковик возможностей»

Самая футуристичная часть — это Find Skills, навык «искать навыки».

Официальное определение навыка find-skills — когда пользователь спрашивает «как сделать X», «есть ли навык, который может...» или хочет расширить возможности, он отвечает за обнаружение и установку соответствующих навыков агента.

Вы говорите «помоги мне сделать X», а он выполняет за вас весь процесс: поиск, фильтрацию, установку наиболее подходящего.

Что еще удобнее — он включает проверку качества. При выборе навыка он смотрит на количество установок, сравнивает источники, отдает приоритет популярным и официальным, а о подозрительных предупреждает быть осторожным.

Исходный код SKILL.md навыка find-skills явно включает три правила проверки перед рекомендацией: приоритет установкам 1000+, осторожность при менее 100, предпочтение официальным источникам Vercel, Anthropic, Microsoft и др., сомнение в репозиториях с количеством звезд ниже 100.

Это означает, что у ИИ впервые появился собственный «поисковик возможностей». Вам не нужно знать, какие навыки есть и как они называются, просто скажите, что нужно сделать, остальное он найдет сам.

Что еще важнее, он полезен не только программистам.

Те, кого больше всего мучает «разрозненность возможностей», — это как раз дизайнеры, менеджеры продуктов, контент-мейкеры и другие, которые пишут код с помощью ИИ.

У них нет привычки к инженерии, коммиты в git, документация — всё держится на ИИ, поэтому они больше всего нуждаются в готовых пакетах навыков для поддержки.

Find Skills дает им точку входа, где можно управлять, не будучи экспертом.

За ажиотажем

Счет, который никто не оплатит

Звучит здорово, но не спешите с энтузиазмом.

Вернемся к каталогу scripts. Навык содержит исполняемую логику, а не безвредные инструкции, он действительно будет выполнять команды на вашем компьютере.

Но большинство людей не проверяет, какие файлы трогает установленный сторонний пакет.

Сколько же мин может быть скрыто в этом?

Исследование ToxicSkills компании Snyk, первое систематическое аудирование 3984 навыков на ClawHub и skills.sh: более трети имеют уязвимости безопасности, 13.4% (534) относятся к критическим, включая распространение вредоносного ПО, инъекцию промптов (prompt injection), утечку ключей.

Это означает, что в среднем каждый 7-8 навык может вас напрямую подставить.

Исследование Snyk «ToxicSkills»: аудит 3984 навыков: 1467 (36.82%) имеют хотя бы одну уязвимость безопасности, из них 534 (13.4%) критического уровня, подтверждено 76 вредоносных нагрузок, еще 8 до сих пор существуют на ClawHub. (Источник: Snyk)

Другая организация, Koi Security, проаудировав 2857 навыков, обнаружила 341 вредоносный.

Основные методы сводятся к двум путям.

Первый — через скрипты, чтобы ваш ИИ скачивал что-то с неизвестных IP и тут же выполнял, или читал ваши SSH, AWS-конфигурации.

Второй — более скрытный, напрямую отравляя текст в SKILL.md, ИИ воспринимает скрытые инструкции злоумышленника как обычные рабочие указания и выполняет их.

Самые злостные могут специально красть файлы памяти агента, где хранятся приватные диалоги.

Вы можете сказать, что npm тоже постоянно взрывается от отравлений, но здесь угроза другого уровня.

npm устанавливает чистый код, данные и инструкции разделены; skill стирает эту границу, это промпты, код и полные права, собранные вместе, один файл SKILL.md может переписать поведение агента, имея прямой доступ к вашей файловой системе, сети и оболочке.

Мины npm взрывают только артефакты сборки, мины skill ведут напрямую к вашим локальным учетным данным и всему репозиторию кода.

Конечно, это не призыв ничего не устанавливать. Сам Vercel предупреждает: относитесь к навыкам как к коду, читайте перед установкой, будьте особенно осторожны с каталогом scripts.

Самое простое правило: большое количество загрузок не означает безопасность, действительно нужно смотреть на источник и разрешения. Навык для проверки погоды, который просит прочитать SSH-ключи вашего сервера — зачем ему это?

Долгожданный «момент npm» для возможностей ИИ действительно наступил.

Но он принес не только удобство, но и все грабли, на которые npm наступал за эти годы, и причем до того, как экосистема созрела.

Одна команда для установки возможностей, конечно, круто, но этот путь только начался. Он позволяет вам использовать опыт коллег, но также требует от вас вдумчивого подхода.

Выбирать пакеты, смотреть источники, проверять права — этот старый навык разработчика в этот раз тоже придется взять с собой.

Двадцать лет

Одна команда

В конечном счете, отправной точкой всего этого остается основатель Vercel Гильермо Рауч.

Он из района Ланис в Буэнос-Айресе, Аргентина. По его собственным словам, большая часть его карьеры обязана Вебу и открытому исходному коду.

В юности он увлекался продвижением Linux, учил людей им пользоваться, позже погрузился в JavaScript; присоединившись к команде разработчиков открытого проекта MooTools, в 18 лет получил первую работу фронтенд-инженера на полную ставку и переехал в Сан-Франциско.

Гильермо Рауч

Одним из его знаменитых творений является Socket.io: широко используемая библиотека для обмена данными в реальном времени, под капотом которой работают системы реального обновления Notion, первые торговые продукты Coinbase.

Позже он определился с направлением: создавать инструменты и облачную инфраструктуру, чтобы сделать Веб быстрее, довести опыт разработчика до совершенства. Так родились Next.js и Vercel.

Сейчас эта платформа поддерживает онлайн-бизнес таких компаний, как Washington Post, Porsche, Under Armour, Nintendo.

И настоящая фишка Vercel скрыта именно здесь: написание кода, превью, запуск — всё одной командой. Как только разработчик начинает это использовать, ему сложно выйти из этой системы.

По сути, Рауч двадцать лет делает одно: сжимает изначально сложную инженерию в ту самую одну команду, которую разработчик может выполнить с закрытыми глазами.

От одной команды now для запуска сервера, до Next.js, и до сегодняшней npx skills add — тот же навык, но теперь перенесенный на ИИ-агентов.

Источники:

https://github.com/vercel-labs/skills#supported-agents

https://www.skills.sh/

https://snyk.io/blog/toxicskills-malicious-ai-agent-skills-clawhub/

Статья из WeChat-аккаунта «Новая эра искусственного интеллекта», автор: ASI启示录, редактор: Юань Юй

Трендовые криптовалюты

Связанные с этим вопросы

QЧто такое Vercel skills и какую проблему они решают?

AVercel skills — это система управления пакетами навыков для AI-агентов, аналогичная npm для JavaScript. Она позволяет разработчикам устанавливать и использовать готовые наборы правил, шаблонов и скриптов (называемые «скиллами») для таких инструментов, как Claude Code, Cursor, GitHub Copilot и других. Проблема, которую они решают, заключается в необходимости каждый раз вручную описывать проектные специфики (стандарты кода, соглашения об именовании) AI-агенту. Теперь это можно упаковать в скилл и использовать постоянно.

QКак работает команда 'npx skills add' и что делает пакет find-skills?

AКоманда 'npx skills add ' устанавливает указанный пакет навыков в локальную среду разработчика, после чего AI-агент (например, Claude Code) может использовать содержащиеся в нём правила и шаблоны. Пакет find-skills — это особый скилл, который действует как «поисковик способностей». Когда пользователь просит AI помочь с задачей (например, «как сделать X»), find-skills автоматически находит, оценивает (по количеству установок, источнику) и предлагает установить наиболее подходящий для этой задачи скилл из каталога skills.sh.

QКакие существуют риски безопасности при использовании AI-скиллов, согласно исследованию Snyk?

AСогласно исследованию Snyk «ToxicSkills», аудировавшему 3984 скилла, более трети (36.82%) содержали уязвимости безопасности, а 13.4% (534 скилла) были классифицированы как критические. Риски включают распространение вредоносного ПО, инъекции в промпты (prompt injection), утечку секретных ключей и доступ к файловой системе. В отличие от npm-пакетов, скиллы объединяют инструкции, код и прямые права на выполнение, что делает потенциальный ущерб более серьёзным — они могут получить доступ к локальным учетным данным, SSH-ключам или конфиденциальным диалогам AI.

QПочему автор статьи сравнивает появление Vercel skills с «npm-моментом» для AI?

AАвтор сравнивает это с «npm-моментом», потому что Vercel skills привносят в экосистему AI-агентов ту же модель, что революционизировала разработку на JavaScript: централизованный реестр, управление зависимостями через одну команду, версионирование и возможность сообщества делиться готовыми решениями. Это знаменует переход от «инженерии промптов» (разовых инструкций) к «инженерии возможностей» — созданию переиспользуемых, стандартизированных модулей для расширения способностей AI, подобно тому, как npm позволил делиться библиотеками кода.

QКто такой Гильермо Раух (Guillermo Rauch) и какова его роль в создании Vercel skills?

AГильермо Раух — основатель и CEO компании Vercel, создатель популярного фреймворка Next.js и платформы развертывания Vercel. Он является инициатором проекта Vercel skills. Его философия на протяжении двух десятилетий заключается в упрощении сложных инженерных задач до одной команды, которую разработчик может выполнить без лишних усилий (например, 'now' для развертывания сервера, Next.js для React). Проект skills продолжает эту традицию, применяя её к управлению способностями AI-агентов, стремясь стать стандартным инструментом и точкой входа в этой новой области.

Похожее

Вероятность опустилась ниже 50%: Закон Clarity в этом году не будет принят?

Вероятность принятия закона Clarity о регулировании цифровых активов в США упала ниже 50%. Законопроект, целью которого является создание федеральных правил для крипторынка и разграничение полномочий между SEC и CFTC, не был подписан к намеченной дате 4 июля. Основные препятствия включают разногласия по поводу доходов от стейблкоинов, освобождения от ответственности разработчиков DeFi и этических норм, усугубленные вопросами раскрытия криптоактивов семьи Трампа. Несмотря на поддержку в комитетах, последние переговоры по ключевым положениям зашли в тупик. Сейчас для закона остаётся узкое окно возможностей — примерно три недели эффективной работы Конгресса после 13 июля, до августовских каникул. Тем временем, по данным Polymarket, рынок оценивает вероятность подписания закона в этом году лишь в 49%. Аналитики отмечают, что принятие закона может ускорить внедрение блокчейна традиционными финансовыми институтами, а задержка продлит период нормативной неопределённости.

Foresight News8 мин. назад

Вероятность опустилась ниже 50%: Закон Clarity в этом году не будет принят?

Foresight News8 мин. назад

Stablecoin Open USD ставит Circle и Tether на уведомление

На рынке стейблкоинов появился новый серьезный претендент — Open USD от Open Standard. В отличие от многих новых проектов, он запускается не в одиночку, а при поддержке более 140 компаний из сфер платежей, финтеха, криптовалют и финансовой инфраструктуры. Это превращает конкуренцию в борьбу за дистрибуцию. Open USD позиционируется как стейблкоин для интернет-экономики, ориентированный на низкую стоимость, высокую пропускную способность и широкую доступность. Его экономическая модель призвана делиться ценностью с партнерами-участниками, что бросает вызов устоявшемуся порядку, где доминируют Tether (USDT) и Circle (USDC). Ключевое отличие Open USD — попытка решить проблему внедрения через плотную сеть партнеров с первого дня. Однако устоявшиеся игроки обладают значительным преимуществом в виде ликвидности, интеграций, доверия и сетевых эффектов. Главный вывод: стейблкоины становятся инфраструктурой, и следующая битва может развернуться не за объемы на биржах, а за то, какой стандарт бизнесы встроят в свои платежные системы. Хотя Open USD еще предстоит доказать свою жизнеспособность, его запуск с широкой поддержкой делает гонку стейблкоинов более интересной.

bitcoinist15 мин. назад

Stablecoin Open USD ставит Circle и Tether на уведомление

bitcoinist15 мин. назад

Отчет о финансировании за неделю | 9 публичных сделок, Venice AI привлек 65 миллионов долларов в раунде A при лидерстве Dragonfly

**Еженедельный отчет о финансировании (29.06 - 05.07): 9 сделок на сумму более $506 млн** Активность на рынке первичных инвестиций в криптовалюты снизилась. Основное внимание инвесторов привлекают ончейн-транзакции и Web3+AI. **Ключевые сделки недели:** * **Venice AI** (Web3+AI) привлекла $65 млн в раунде A при оценке в $1 млрд (лид-инвестор Dragonfly). Платформа обеспечивает приватный доступ к ИИ-моделям. * **Ionic Digital** (майнинг биткойнов) завершила приватное размещение на ~$400 млн перед листингом на NASDAQ. * **Extended** (DeFi, ончейн-биржевые деривативы) привлекла $12.5 млн в стратегическом раунде (лид eToro). * **Lion Group** инвестирует до $12 млн в индонезийского разработчика стейблкоина **PT Nusantara Bumi Sangkara**. **Распределение по секторам:** * **DeFi:** 3 сделки. Помимо Extended, финансирование получили платформа приватного кредитования Techdollar ($3 млн) и DEX Arcus (инвестиция Robinhood Crypto). * **Web3+AI:** 3 сделки. Кроме Venice AI, средства привлекли сеть прогнозного ИИ THEA ($8 млн) и рынок данных для ИИ Kled AI ($3 млн). * **Другие сектора:** По одной сделке в прогнозных рынках (Adjacent, $2.5 млн), централизованных финансах (инвестиция в стейблкоин) и майнинге. Также объявлено о приобретении проекта Sunscreen компанией Fhenix для развития технологий FHE.

marsbit24 мин. назад

Отчет о финансировании за неделю | 9 публичных сделок, Venice AI привлек 65 миллионов долларов в раунде A при лидерстве Dragonfly

marsbit24 мин. назад

ARK Invest активно покупает акции криптокомпаний: меньший риск или двойная нагрузка?

Инвестфонд ARK Invest под управлением Кэти Вуд в июне приобрел акции криптовалютных компаний на общую сумму 77 млн долларов, увеличив позиции в Coinbase, Circle и Bullish, несмотря на худший месячный результат биткойна за четыре года. Анализ данных CryptoSlate показывает, что акции криптокомпаний демонстрируют почти вдвое более высокую волатильность по сравнению с биткойном, при этом их движение часто лишь частично коррелирует с ценой криптовалюты. Например, MicroStrategy (MSTR) выступает в роли инструмента с leveraged-экспозицией к биткойну, тогда как динамика акций Circle в значительной степени зависит от корпоративных рисков и конкуренции на рынке стейблкоинов. Robinhood показывает низкую корреляцию с биткойном благодаря диверсифицированному бизнесу, а майнинговые компании, такие как RIOT и MARA, в этом году росли за счет контрактов в сфере ИИ-вычислений. Таким образом, инвестиции в акции криптокомпаний не только часто усиливают волатильность биткойна, но и добавляют инвесторам специфические корпоративные риски, такие как разводнение капитала, давление на денежные потоки и изменения в конкурентной среде, что отсутствует при прямом владении криптовалютой.

marsbit38 мин. назад

ARK Invest активно покупает акции криптокомпаний: меньший риск или двойная нагрузка?

marsbit38 мин. назад

Только что, классический шедевр DeepMind снова стал культовым. Объявлены награды ICML 2026

Официально объявлены награды ICML 2026. Две статьи о диффузионных моделях получили высшую награду за выдающуюся статью, и многие авторы — китайцы. В общей сложности 9 работ были номинированы на премию за выдающуюся статью, включая 3 победителя и 6 почетных упоминаний. Премия за проверку временем была присуждена классической работе DeepMind «Асинхронные методы глубокого обучения с подкреплением». Обе статьи-победители в области диффузионных моделей сигнализируют о переходе исследований от «доказательства концепции» к «глубокой» фазе, требуя более тщательного анализа и улучшения инфраструктуры. Награда за лучшую позиционную статью была присуждена работе «Позиция: сообщество по согласованию невольно создает инструментарий цензора», что отражает внутреннюю рефлексию в исследованиях безопасности ИИ. Почетные упоминания охватывают такие темы, как возникновение честности в RLHF, атрибуция движения в генерации видео, запоминание в языковых моделях, согласованность диффузионных моделей и строгое доказательство феномена «гроккинга». Список наград ICML 2026 указывает на то, что исследования ИИ переходят от фазы «быстрого расширения» к фазе «глубокой очистки» и консолидации.

marsbit53 мин. назад

Только что, классический шедевр DeepMind снова стал культовым. Объявлены награды ICML 2026

marsbit53 мин. назад

Торговля

Спот

Популярные статьи

Как купить ONE

Добро пожаловать на HTX.com! Мы сделали приобретение Harmony (ONE) простым и удобным. Следуйте нашему пошаговому руководству и отправляйтесь в свое крипто-путешествие.Шаг 1: Создайте аккаунт на HTXИспользуйте свой адрес электронной почты или номер телефона, чтобы зарегистрироваться и бесплатно создать аккаунт на HTX. Пройдите удобную регистрацию и откройте для себя весь функционал.Создать аккаунтШаг 2: Перейдите в Купить криптовалюту и выберите свой способ оплатыКредитная/Дебетовая Карта: Используйте свою карту Visa или Mastercard для мгновенной покупки Harmony (ONE).Баланс: Используйте средства с баланса вашего аккаунта HTX для простой торговли.Третьи Лица: Мы добавили популярные способы оплаты, такие как Google Pay и Apple Pay, для повышения удобства.P2P: Торгуйте напрямую с другими пользователями на HTX.Внебиржевая Торговля (OTC): Мы предлагаем индивидуальные услуги и конкурентоспособные обменные курсы для трейдеров.Шаг 3: Хранение Harmony (ONE)После приобретения вами Harmony (ONE) храните их в своем аккаунте на HTX. В качестве альтернативы вы можете отправить их куда-либо с помощью перевода в блокчейне или использовать для торговли с другими криптовалютами.Шаг 4: Торговля Harmony (ONE)С легкостью торгуйте Harmony (ONE) на спотовом рынке HTX. Просто зайдите в свой аккаунт, выберите торговую пару, совершайте сделки и следите за ними в режиме реального времени. Мы предлагаем удобный интерфейс как для начинающих, так и для опытных трейдеров.

811 просмотров всегоОпубликовано 2024.04.12Обновлено 2026.06.02

Как купить ONE

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на ONE (ONE) представлены ниже.

活动图片