Agent Skills:AI 编码工具的"技能应用商店",但现在入场太拥挤了
2026-03-16 | ProductHunt | 官网
截图解读:agentskill.sh 的宣传页面,深色背景 + 像素风光标 Logo,核心卖点一目了然:110,000+ skills 目录,覆盖 Claude、Cursor、Copilot 等 AI Agent,一条
/learn命令搞定安装。设计风格偏极客,走的是开发者社区路线。
30秒快速判断
这App干嘛的:给 AI 编码助手(Claude Code、Cursor、Copilot 等)找"技能包"的搜索引擎。你的 AI Agent 不会 SEO?装个 skill 它就会了。不会写开发信?也有对应 skill。agentskill.sh 帮你从 110,000+ 个 skills 里找到靠谱的,还帮你做安全扫描,避免装到恶意代码。
值不值得关注:赛道是对的,但产品本身存在感太低。PH 只有 2 票,同赛道已有 Vercel 的 skills.sh(有 Snyk+Socket 安全背书)、SkillsMP(500K+ skills)等强劲对手。对于想了解 Agent Skills 生态的人有参考价值,但这个具体产品目前还不是赛道赢家。
与我有关三问
与我有关吗?
目标用户是谁:每天用 Claude Code、Cursor、Copilot 写代码的开发者。
我是吗? 如果你满足以下任一条件,你就是目标用户:
- 你用 Claude Code 或 Cursor 写代码,但觉得 AI 在某些领域(测试、部署、SEO、文案等)不够专业
- 你想让 AI Agent "自我进化",自动获取新能力
- 你担心从 GitHub 随意装的 SKILL.md 有安全隐患
什么场景会用到:
- 搭建新项目时 → 用
/learn找技术栈相关 skills(Next.js、Prisma、Stripe 等) - 想让 Agent 做非编码任务时 → 找 SEO、内容创作、法务合规等 skills
- 不用这个的场景 → 你已经有自己写的 skills,或者你更倾向于用 Vercel 的 skills.sh
对我有用吗?
| 维度 | 收益 | 代价 |
|---|---|---|
| 时间 | 省去翻 GitHub 找 skills 的时间,搜索 30 秒搞定 | 学习 /learn 命令需 5 分钟 |
| 金钱 | 免费 | 零成本 |
| 精力 | 安全扫描帮你过滤恶意 skills,省心省力 | 安全扫描不是 100% 可靠,仍需自己审核关键 skills |
ROI 判断:如果你经常找 skills,值得花 5 分钟装一下试试。但说实话,Vercel 的 skills.sh 有更强的安全合作伙伴(Snyk、Socket),npx skills add 也足够简单。两个都免费,不妨都试试。
喜闻乐见吗?
爽点在哪:
- 自动推荐:运行
/learn不带参数,它会扫描你的 package.json 和 git 分支,自动推荐合适的 skills。在feat/stripe-checkout分支上?它就推 Stripe 相关 skills。 - 安全分数:每个 skill 有 0-100 的安全评分,低于 30 分需要你手动确认才能安装,有效避免踩雷。
用户真实评价:
"安全扫描是真正的差异化,20% 恶意率虽然疯狂但不意外。" — ProductHunt 评论
"发现好 skills 就像 2010 年搜 GitHub。" — ProductHunt 评论
"在 Claw Mart 上已经花了超过 10 万美元。Agent 出售技能和人格是一门严肃的生意。" — @nateliason (176 个赞)
给独立开发者
技术栈
- 核心格式:SKILL.md(Anthropic 2025 年 10 月发布,12 月开放为行业标准)
- 安全层:两层扫描 — 服务端 12 类威胁检测 + 客户端本地验证
- 版本管理:content SHA 锁定版本,有更新时 Agent 会提示
- 安装方式:Claude Code Plugin 或 git clone 到
~/.claude/skills/learn/
核心功能实现
agentskill.sh 的核心是一个 skills 聚合引擎 + 安全扫描服务。后端爬取 GitHub 上的 SKILL.md 文件,提取 YAML frontmatter(名称、描述、兼容性等),建立索引。安全层对每个 skill 做 12 类静态分析(命令注入、数据外泄、凭证窃取等),给出 0-100 的安全分。前端是一个搜索目录网站。/learn 命令作为 Agent Skill 本身安装到你的编码工具中,负责搜索、安装、版本追踪。
SKILL.md 标准本身很简单:一个目录里放一个 SKILL.md 文件,YAML frontmatter 写 name 和 description,下面写指令。Agent 启动时只加载元数据(约 100 tokens/skill),用到时才加载全文(渐进式披露)。
开源情况
- SKILL.md 标准:完全开源,Anthropic 主导 — github.com/anthropics/skills
- /learn 命令:开源 — github.com/agentskill-sh/learn
- agentskill.sh 网站:未开源
- 安全扫描器(竞品):Cisco AI Defense Skill Scanner 开源 — github.com/cisco-ai-defense/skill-scanner
- 自己做难度:中等。SKILL.md 聚合不难(爬 GitHub),安全扫描是关键差异化但 Cisco 已有开源方案。预计 1 人 2-3 周可做出 MVP。
商业模式
- 当前:完全免费
- 变现方式:未明确。可能方向包括:认证作者、企业安全 SaaS、高级 skills 商城
- 参考:Vercel 的 skills.sh 也免费,旨在绑定自家生态
巨头风险
极高。Vercel 已经推出 skills.sh 并拉来了 Snyk 和 Socket 做安全合作伙伴。Anthropic 有官方 skills 仓库。GitHub 的 Copilot 内置了 skills 支持。OpenAI 的 Codex 也原生支持。对于一个独立产品来说,和这些巨头抢"skills 发现"赛道非常困难。
给产品经理
痛点分析
- 核心痛点:Agent Skills 生态爆发后,好的 skills 散落在数千个 GitHub 仓库里,搜索和比较极其困难
- 安全痛点:2026 年 1 月 ClawHub 事件 — OpenClaw 的 skills 市场中 20% 是恶意代码,包含 prompt 注入、凭证窃取、反向 shell 等
- 痛点有多痛:高频刚需。85% 的开发者已在使用 AI 编码助手,skills 是提升 Agent 能力的标准方式
用户画像
- 核心用户:日常使用 Claude Code / Cursor / Copilot 的全栈开发者
- 次要用户:DevOps 工程师、技术博主、独立开发者
- 使用场景:新项目搭建时找合适 skills → 日常开发中发现 Agent 不够专业时搜索 → 团队统一 skills 配置
功能拆解
| 功能 | 类型 | 说明 |
|---|---|---|
| Skills 搜索引擎 | 核心 | 110K+ skills 全文检索 |
| 12 类安全扫描 | 核心 | 服务端+客户端两层验证 |
| /learn 一键安装 | 核心 | 在 Agent 对话中直接安装 |
| 自动推荐 | 锦上添花 | 扫描项目配置推荐相关 skills |
| 版本追踪 | 锦上添花 | content SHA 锁定+自动更新提示 |
| 社区评分 | 锦上添花 | Agent 用后自动评分 |
竞品差异
| 对比项 | agentskill.sh | skills.sh (Vercel) | SkillsMP | SkillHub |
|---|---|---|---|---|
| Skills 数量 | 110K+ | 排行榜模式 | 500K+ | 7K+ |
| 安全方案 | 自研 12 类扫描 | Snyk+Socket | 社区审核 | AI 5 维评分 |
| 安装方式 | /learn (Agent内) | npx skills add (终端) | 手动 GitHub | skillhub CLI |
| 背书 | 无 | Vercel | 独立社区 | 腾讯(中国市场) |
| 差异化 | Agent 内闭环体验 | 企业级安全 | 数量最多 | AI 质量评估 |
可借鉴的点
- "/learn 不带参数"的自动推荐:扫描项目配置文件自动推荐 skills,这个交互设计很聪明
- 两层安全模型:服务端集中扫描 + 客户端本地二次验证,值得参考
- 安全评分 0-100 + 30 分阈值:量化安全风险,降低用户决策成本
给科技博主
创始人故事
- 创始人:身份未公开。agentskill-sh GitHub 组织无公开成员
- 背景:产品刚上 ProductHunt,极早期,团队信息极少
- 产品来源:生长于 Agent Skills 生态爆发的背景下(2025 Q4 - 2026 Q1)
争议点/讨论角度
- Agent Skills 的"npm 时刻":ClawHub 事件证明 skills 生态正在经历类似 npm 早期的供应链攻击危机。20% 恶意率、1,184 个恶意 skills、Atomic Stealer 窃取加密货币和 SSH 凭证 — 这不是假设,已经发生了
- "谁来审核审核者":安全扫描本身就是一个 skill,如果扫描工具被攻破呢?
- Skills 是不是"新的插件战争":2023 年 ChatGPT Plugins 失败了,Agent Skills 会重蹈覆辙还是走出不同的路?
- 记忆投毒:ClawHub 攻击中最可怕的是针对 OpenClaw 的持久记忆文件(SOUL.md、MEMORY.md),一次性攻击变成永久后门
热度数据
- PH 排名:票数仅 2,几乎无热度
- 生态热度:SKILL.md 规范仓库 13.1K stars,awesome-agent-skills 22K+ stars
- 产业热度:Anthropic、OpenAI、Microsoft、Vercel、Snyk、Cisco 全部入场
- 搜索趋势:Agent Skills 相关搜索 2026 Q1 持续上升
内容建议
- 最佳角度:不要只写 agentskill.sh 这个产品(太小),写 Agent Skills 生态全景图 — 从标准诞生到安全危机再到竞争格局
- 蹭热点机会:ClawHub 安全事件是绝佳切入点,"你的 AI Agent 可能已经被投毒了"
给早期采用者
定价分析
| 层级 | 价格 | 包含功能 | 够用吗? |
|---|---|---|---|
| 免费 | $0 | 全部功能:搜索、安装、安全扫描、自动推荐 | 完全够用 |
上手指南
- 上手时间:5 分钟
- 学习曲线:极低
- 步骤:
- 确保 Claude Code 版本 >= 1.0.33
- 在 Claude Code 中运行:
/plugin marketplace add https://agentskill.sh/marketplace.json - 安装 /learn:
/plugin install learn@agentskill-sh - 用
/learn nextjs搜索 → 选择 → 安装完成 - 或者更简单:直接输入
/learn(无参数,自动推荐)
坑和吐槽
- 安全扫描不是银弹:12 类威胁检测覆盖面有限,复杂的 prompt 注入可能绕过。关键 skills 仍需人工审核
- skills 质量参差不齐:110K+ 里大量是低质量或过时的,需要自己判断
- 创始人身份不明:对于一个处理安全扫描的工具,团队透明度非常重要
安全和隐私
- 数据存储:skills 存储在本地(
~/.claude/skills/等目录) - 安全扫描:服务端扫描意味着 agentskill.sh 能看到你安装了什么
- 隐私策略:未找到明确的隐私政策
- 安全审计:无第三方审计(对比之下,Vercel 的 skills.sh 有 Snyk 和 Socket 背书)
替代方案
| 替代品 | 优势 | 劣势 |
|---|---|---|
| skills.sh (Vercel) | Snyk+Socket 安全背书、企业级、支持 40+ Agent | 偏向 Vercel 生态 |
| SkillsMP | 500K+ skills,目前最大的目录 | 无安全扫描功能 |
| 直接搜 GitHub | 最新、最全 | 费时费力、无安全保障 |
| 自己写 SKILL.md | 最安全、最定制化 | 需要投入时间成本 |
给投资人
市场分析
- AI 编码工具赛道:2026 年预计 74 亿至 346 亿美元,2030 年达 240 亿至 910 亿美元,年复合增长率 17-27%
- AI Agent 赛道:2026 年 109 亿美元,2033 年 1830 亿美元,年复合增长率 49.6%
- 驱动因素:85% 开发者已使用 AI 编码助手、Gartner 预测 2026 年底 40% 企业应用将包含 AI Agent
竞争格局
| 层级 | 玩家 | 定位 |
|---|---|---|
| 头部 | Vercel skills.sh、Anthropic 官方 | 平台级,拥有生态优势 |
| 腰部 | SkillsMP、SkillHub、tech-leads-club | 社区驱动,细分定位 |
| 新进入者 | agentskill.sh(本产品) | 安全+发现,处于早期 |
Timing 分析
- 为什么是现在:2025 年 12 月 Anthropic 开放标准 → 2026 年 1 月 ClawHub 安全事件 → 安全+发现需求爆发
- 技术成熟度:SKILL.md 标准已被所有主要平台采用,基础设施已就位
- 市场准备度:高。但窗口期极短,Vercel 已经领跑
团队背景
- 创始人:身份不公开
- 核心团队:不明
- 过往成绩:不明
- 风险:团队透明度极低,对于安全类工具是重大隐患
融资情况
- 已融资:未知
- AI Agent 赛道整体:2024 年融资 38 亿美元,同比增长近 3 倍
结论
Agent Skills 是 2026 年最热门的 AI 开发者生态之一,但 agentskill.sh 这个具体产品目前还不是赛道赢家。 Vercel 的 skills.sh 有更强的安全合作伙伴和品牌背书,SkillsMP 有更大的目录规模。agentskill.sh 的 "/learn 自动推荐" 和 "Agent 内闭环体验" 是不错的差异化点,但在团队透明度和产业合作上差距明显。
如果你对 Agent Skills 生态感兴趣,重点关注的不应该是某个具体的 skills 市场,而是 SKILL.md 标准本身 — 学会写 skills、为你的团队建立内部 skills 库,比依赖任何第三方目录都更有价值。
| 用户类型 | 建议 |
|---|---|
| 开发者 | ✅ 了解 SKILL.md 标准,学会写 skills。agentskill.sh 可以试试,但更推荐 Vercel skills.sh |
| 产品经理 | ✅ 关注 Agent Skills 生态趋势,借鉴 "/learn 自动推荐" 的交互设计 |
| 博主 | ✅ 撰写 Agent Skills 生态全景+ClawHub 安全事件,不要只写这个具体产品 |
| 早期采用者 | ✅ 免费工具,装一个试试不亏。但也建议安装 Vercel 的做对比 |
| 投资人 | ❌ 团队不透明、PH 仅 2 票、巨头环伺,不建议关注这个具体产品。但 Agent Skills 赛道值得持续跟踪 |
资源链接
| 资源 | 链接 |
|---|---|
| 官网 | agentskill.sh |
| GitHub (/learn) | github.com/agentskill-sh/learn |
| ProductHunt | Agent Skills on PH |
| SKILL.md 标准 | agentskills.io |
| Anthropic 官方 Skills | github.com/anthropics/skills |
| Vercel skills.sh | skills.sh |
| ClawHub 安全事件 | The Hacker News 报道 |
2026-03-16 | Trend-Tracker v7.3