Agent Skills: A Data-Driven Analysis of Claude Skills for Extending Large Language Model Functionality
智能体技能:面向大语言模型功能扩展的Claude技能数据驱动分析
论文链接
摘要
智能体技能通过可复用、类程序的模块扩展了大语言模型(LLM)智能体的功能,这些模块定义了触发条件、过程逻辑与工具交互。随着此类技能在公共市场的快速增长,其类型分布、用户采用模式及潜在风险仍不明确。为探究这些问题,我们对某主流市场中的40,285个公开技能展开了大规模数据驱动分析。研究结果表明:技能发布往往呈现短期爆发模式,且与社区关注度的变化同步。技能内容高度集中于软件工程工作流,而信息检索与内容创作类技能则占据实际采用的重要份额。除内容趋势外,我们发现不同类别间存在显著的供需失衡,且尽管技能长度分布呈重尾特征,大多数技能仍保持在典型提示预算范围内。最后,我们观察到生态系统呈现强烈的同质性,意图层级的冗余广泛存在,同时识别出非平凡的安全风险,包括可触发状态变更或系统级操作的技能。总体而言,本研究通过量化视角揭示了智能体技能作为新兴智能体基础设施层的现状,并为未来技能复用、标准化及安全感知设计提供了依据。
1.引言
大语言模型(LLM)智能体已成为解决复杂、多步骤任务的强大范式,这些任务需要推理、工具使用以及与外部环境交互(Yao等人,2022;Wang等人,2024)。与其依赖单一的提示-响应交互,智能体在延长的时域内运作:它们解读用户目标,将其分解为子任务,并协调跨多样工具、数据源和中间状态的行为(Shinn等人,2023;Wang 等人, 2023; Sapkota等人, 2025)。这种智能体执行模型已使应用范围日益扩大,从软件开发与数据分析,到个人助理与工作流自动化等领域均有涉猎(Wang等人, 2024)。
随着基于智能体的系统在复杂性和部署规模上的扩展,围绕可靠性、复用性和可维护性的新挑战随之涌现(Liu等人,2026a;Cemri等人,2025;Raheem与Hossain,2025)。许多智能体行为在不同任务和用户间反复出现,却仍通过提示词或手工编写的控制逻辑被重复定义(Jin等人,2026;Liu等人,2025)。这推动了智能体技能的出现(openclaw社区,2026;Anthropic,2025)。围绕这些技能的生态体系在近几个月内迅速扩张,如图1所示。这种增长促使我们更深入地审视现有技能的种类、其采用方式以及可能引发的风险。
图1:智能体技能增长趋势。根据知名智能体技能平台skills.sh数据显示,2026年1月中旬至2月上旬期间,记录的技能数量呈现快速增长,并于2月初突破40,000项。同期,热门开源技能应用OpenClaw(openclaw社区,2026)在GitHub上星标数急剧攀升,于1月末单日新增星标数超25,000个,随后逐渐回落,其总星标数已突破17万。
什么是智能体技能?智能体技能是近期出现的一种抽象概念,用于构建可复用、可扩展的智能体行为(Anthropic,2025;Wu与Zhang,2026;Lee,2025)。该概念由Anthropic公司在Claude智能体框架背景下系统化并推广(Anthropic,2025),在此框架中技能有时也被称为Claude技能或Claude智能体技能。智能体技能可定义为一个可复用、即插即用的模块,它规定了技能应在何时被调用以及相应的子任务应如何执行,通常以可共享、可版本化管理、可组合的形式存在。在实际实现中,一个技能通常将支持发现与选择的轻量级元数据,与可执行指令及支持性资源(如文件、脚本和工具配置)相结合(Anthropic,2025)。附录A提供了技能结构的具体示例。
为何智能体需要技能?基于智能体的系统常常需要处理类似的子任务,例如数据检索、信息提取、代码修改等。若缺乏显式的抽象机制,这些重复性行为必须通过提示或临时控制逻辑反复指定。这种重复不仅增加了提示开销,还使得行为在轻微上下文变动下显得脆弱,并使得共享流程的维护变得复杂(Jin et al., 2026)。智能体技能通过将可复用的行为封装成模块化单元来解决这些问题,这些单元能够捕获任务知识、流程逻辑和工具使用模式。由于技能可被复用和组合,它们提升了行为一致性并降低了提示复杂度,使得智能体能力更易于扩展和控制。共享技能库还能支持跨应用的标准化和持续优化。
智能体技能在实践中的应用方式如何?在实际系统中,技能通常被组织为自包含的模块,智能体在任务求解过程中可对其进行选择与执行。一种常见模式是将符合条件的技能以元数据(包含名称与描述的简洁列表)形式载入系统提示词中;智能体随后根据用户请求选择相应技能,并遵循该技能定义的指令,按需调用工具。附录A提供了具体示例(图11),展示了智能体如何运用不同技能解决用户问题。
综上所述,这些观察表明智能体技能正在快速增长,但其功能与潜在影响差异显著。因此,亟需厘清现有技能的类型、使用方式及其可能带来的风险。本文通过大规模数据驱动的方法,对这一新兴智能体技能生态系统进行了测量研究。基于从公共技能平台收集的语料库,我们分析了以下方面:
• 第2章的增长趋势:量化技能随时间的发布情况,呈现快速、爆发式的增长态势。
• 第3章的技能长度与冗余度:测量提示词长度并显示其呈现重尾分布,同时大多数技能保持在典型的提示词预算范围内。此外,我们发现近似重复的技能条目普遍存在。
• 第4章的技能使用模式:将技能划分为6个主要类别和20个子类别的分类体系,并揭示其在软件工程工作流中的高度集中现象。我们进一步发现技能发布量与用户安装量之间存在明显差距。
• 第5章的安全风险:对技能进行审计发现,大多数技能风险较低,但仍有相当一部分具备状态更改能力。
我们的研究结果指出了若干待解决的问题。首先,供需错配与高度冗余现象要求我们改进技能发现机制、消除重复技能并建立更有效的质量信号体系。其次,行动赋能型技能的存在促使我们必须进行安全感知设计,包括建立更清晰的权限模型、实施更强的沙盒隔离机制以及推行更透明的风险标识方案。
2.技能数据与增长趋势
本节将介绍我们的技能数据集,并概述智能体-技能生态系统的历时发展。我们首先阐述技能及其元数据的采集方法,随后通过统计指标呈现其发布与应用的模式特征。
2.1 数据收集
我们通过爬取公共市场skills.sh上列出的智能体技能来构建数据集。针对每项技能,我们提取一组轻量级元数据,用于描述技能本身、其托管位置、首次在市场出现的日期以及其安装的广泛程度。具体而言,每条记录包含技能名称、指向托管技能文件的存储库字段、记录技能首次上传至skills.sh日期的first_seen字段,以及统计各支持平台安装数量的installed_on字段。
我们将每个技能存储为一个SKILL.md文件及一个具有如下结构的类JSON对象:
{
"name": [技能名称],
"repository": [仓库链接],
"first_seen": [日/月/年],
"installed_on": [
{"platform": "claude-code", "installs": [安装次数]},
{"platform": "codex", "installs": [安装次数]},
...
]
}
我们于2026年2月5日完成数据收集,共获得40,285条技能元数据记录。除非另有说明,此数据快照将作为第2.2至5节所有分析的基础。所有测量均仅基于公开可访问的内容;我们避免对个体创作者进行敏感性归因,并仅以汇总形式报告结果。
2.2 技能增长趋势
我们在第2.1节中使用 first_seen 字段来研究技能增长趋势,该字段记录了技能首次出现在 skills.sh 上的时间。为了捕捉社区关注的并行信号,我们还通过 GitHub GraphQL API(api.github.com/graphql)查询 OpenClaw(openclaw Community, 2026)的 GitHub star 历史来追踪其受欢迎程度。图1绘制了已列出技能的累计数量以及 OpenClaw star 的累计数量。
图1:智能体技能增长趋势。根据知名技能平台skills.sh数据显示,2026年1月中旬至2月初期间,平台记录的技能数量呈现快速增长,并于2月初突破4万项。同期,热门开源技能应用OpenClaw(openclaw Community, 2026)的GitHub星标数出现急剧攀升,于1月末单日新增星标数超2.5万,随后逐渐回落,星标总量已突破17万。
增长呈现快速且爆发性态势。市场技能数量从2026年1月16日的2,179项激增至2026年2月5日的40,285项,在20天内净增38,106项技能。这相当于增长了18.5倍,日均复合增长率约为15.7%。尽管日均技能流入量为1,918项,但新增技能集中出现在短期峰值中。最大峰值出现在2026年1月25日,单日新增技能达8,857项,占该时段新增技能总量的23.2%。在周度层面,以1月25日为中心的那一周共新增19,259项技能,占完整快照总数的47.8%。
增长情况与应用程序层面的流行度信号相符。OpenClaw 同时出现了流行度激增现象。每日新增星标数从一月中旬的数百个,上升至1月25日的10,543个,随后于1月26日达到峰值25,432个,是前一天的2.4倍。峰值过后,每日新增量在二月初逐步下降。例如,OpenClaw在2月5日仅新增1,718个星标,这与新上架技能数量的放缓时段重合。总体来看,这些同步出现的峰值表明存在共同的驱动因素。一波公众关注度很可能同时激励了技能的发布和基于技能的开发工具探索。尽管GitHub星标数是一个并不完美的衡量实际使用的指标。它们与市场挂牌量的同步动态表明,供应快速增长与强烈的社区关注度同时发生。
3 技能长度与冗余度
本节总结了规模化技能的内容与使用情况。我们首先分析技能长度,随后汇报意图层面的冗余度。
3.1 技能长度特征
我们通过将每个 SKILL.md 文件分词并统计词元数量来衡量技能长度。对于第2.1节中的每条技能记录,我们统一使用 tiktoken(OpenAI, 2026)的 o200k_base 编码。这种方法使得词元数量可以作为提示词预算和推理成本的直接代理指标。
典型技能篇幅较短。图2显示出一个明显的长尾分布,但大多数技能仍然紧凑。中位长度为1,414个标记,平均长度为1,895个标记,这表明典型技能可以轻松地与规划上下文和工具模式共存。从分位数来看,长度很少成为限制性约束:80%和95%的技能在2,955和5,077个标记以内,90%和99%的技能分别低于3,935和9,253个标记。与此同时,2,025个标记的标准差凸显了显著的离散程度,尽管主体部分的篇幅较短。
图2:智能体技能词数分布。该分布呈重尾特征:技能描述的中位数为1,414词(平均值为1,895词)。90%的技能描述不超过3,935词,99%不超过9,253词。极少部分技能描述异常冗长,最长达到116,239词。
某些技能因包含多个组成部分而导致其描述篇幅异常冗长。这种离散分布主要由少量极端离群值驱动。排名前1%的技能描述长度超过9,253个标记,最大值甚至达到116,239个标记,这可能消耗大量提示预算,并在需要完整加载时对可靠筛选与审计时造成阻碍。经人工检查发现,这些长篇幅技能中有许多将多个组件整合至单一文件,包括扩展文档、大型代码块以及可复用的模板集合。这种模式表明,虽然大多数技能支持直接上下文调用,但少数技能的行为类似函数库,或许可通过模块化或基于检索的加载方式进行优化,从而仅将相关部分引入上下文。
3.2 意图级冗余分析
随着智能体技能生态系统的扩张,相同用户意图被多次发布的情况日益常见,这既可能源于独立开发者的创作,也可能通过模板化生成机制产生。适度的重复若催生了实质性的改进变体------例如更严谨的安全校验、更广泛的工具覆盖或更清晰的文档说明------则具有积极意义。然而,当大多数副本仅存在措辞差异时,市场总量虽增长却未能带来能力多样性的相应提升。因此,我们将冗余量化为同一意图在语料库中被重复列出的频率。
冗余度测量。我们通过两种信号估算冗余度。首先采用基于名称的精确匹配:将技能名称转为小写、移除特殊字符,并将标准化名称相同的技能归为一组。其次进行语义匹配:使用BAAI/bge-m3模型(Chen等人,2024)对"名称:[名称]+描述:[描述]"进行编码,并通过最近邻相似度分析结合t-SNE可视化进行检验。在该市场中,技能描述通常具有篇幅短、含噪声且源自模板化文本的特点。语义相似的嵌入向量无法可靠地区分真实重复技能与松散关联技能。因此,我们在主要结果中采用严格的名称匹配方法,并将嵌入分析报告于附录B。
近半数条目为重复项。图3显示,唯一条目数量仅略多于重复条目。在严格的精确匹配条件下,53.7%的技能仅出现一次,而46.3%的技能与至少另一条条目共享标准化名称。重复现象也呈现集中分布。成对出现的情况较为普遍,重复2次的群组占语料库的18.7%。更高重复频次的群组仍占相当比例:重复5至9次的群组贡献14.3%,重复10至49次的群组贡献8.8%。少量名称出现超过100次,这与基于共享模板的重复发布或自动化发布行为相符。为具体说明,我们在图4中提供了冗余度最高的30个技能名称。
图3:基于名称的冗余度分布。技能通过移除特殊字符后经不区分大小写匹配的归一化名称进行分组。我们统计了出现n次的技能比例,记为n×。仅出现一次的技能占比为53.7%,而出现超过一次的技能占比为46.3%。根据此指标计算出的前30个最具冗余性的技能名称列于附录图4。
图4:基于名称匹配的前30项冗余技能。我们依据使用相同规范化名称的职位发布数量对技能进行排序,采用第3.2节中的精确匹配流程。本图列出了重复频率最高的30项技能名称及其重复次数。
对发现与维护的影响。高度冗余会增加用户搜索成本,并使针对高度相似条目的反馈和采用信号碎片化,导致优质实现方案更难成为明确的首选方案。这也表明开发者精力常被耗费在对通用工作流的重复封装上。将覆盖范围扩展至服务不足的任务领域。这推动了平台机制的创新,以鼓励复用与差异化发展,具体措施包括:建立更清晰的标准技能体系、实施更明确的版本管理,以及采用模块化模板来减少发布表面化复制品的动机。
4.技能使用模式
本节研究技能的实际功能与用户真实安装情况。我们通过构建分类体系归纳技能功能特性,以支持从语料库层面比较技能的发布与采用情况。
4.1 分类学与分类
我们定义了一个包含6个主要类别和20个子类别的双层分类体系(见表1)。该分类体系覆盖了端到端的智能体工作流,并区分了实践中不同的常见意图,例如代码生成与调试分析。针对每个子类别,我们报告了技能数量、平均令牌长度以及平均下载或安装量。图5通过展示完整技能Markdown文档中高频词的类别词云,提供了定性分析依据。我们仅保留在目标类别中出现频率超过其余五个类别平均值1.5倍的词汇。由于市场标签稀疏且不一致,我们使用Qwen2.5-32B-Instruct模型(Qwen等,2025)对技能进行标注:根据技能名称和描述,模型会选择一个子类别并返回严格的JSON记录。附录D列出了分类体系定义及提示模板。
表1:智能体技能的功能分类体系与类别级统计。技能共分为6个主要类别和20个子类别。针对每个子类别,我们报告了其规模(技能数量及占语料库百分比)、以词元计算的平均技能长度以及平均下载/安装量。
图5:按主要类别划分的技能名称词云图。针对第4.2节中的每个主要类别,我们展示了从技能文档中提取的高频术语。仅当词汇在目标类别中的出现频率超过其余五个类别平均频率的1.5倍时,该词汇才会被保留。字体大小与类别内的出现频率成正比,以突出常见主题和重复出现的工作流程特征模式。
4.2 供需分布
以数据为核心的技能通常篇幅更长,其标记长度随功能而异。数据可视化和数据处理是平均标记数最长的两个子类别,分别达到2,322和2,134个标记。这些技能描述常包含多步骤流程、配置区块及可复用模板。相较之下,版本控制和本地文件控制的篇幅较短,分别为1,403和1,420个标记,且通常更具流程性。这些差异对于提示预算规划与审核至关重要------即使某个技能类别规模较小,若其技能描述篇幅过长,仍可能带来巨大的审核负担。
软件工程在岗位列表中占据主导地位。在表1中,软件工程占比达54.7%。在代码生成、调试与分析等语料库中,基础设施是最大的子类别,包含9,664项技能,占总列表的24.0%。这表明开发者经常发布与环境设置、DevOps自动化、工具配置和部署相关的技能。
采纳集中于少数通用技能,其模式与技能发布存在差异。网络搜索类技能平均下载量最高(1,268次),但仅占技能总数的1.4%,这表明少数检索类连接器被广泛复用。内容创作类技能的平均安装量也较高,音频视频类为266次,图像生成类为214次。代码生成类技能仍属安装量前列,达235次。相比之下,实用工具类技能的平均安装量较低,本地文件控制类为42次,记忆与认知类为54次。这可能反映了其应用场景较窄、感知风险较高,或与智能体内置功能存在重叠。我们将在第4节进一步分析这种技能发布与采纳间的差距。
总体而言,该分类体系为生态系统提供了一幅简明的图谱。它区分了开发者构建的内容与用户复用的内容,并阐明了内容复杂度如何随功能不同而变化。
4.3 供需动态
仅凭生态系统的增长无法说明开发者发布的功能是否最受用户采纳。因此,我们比较了各功能类别间的供给与需求。遵循第3.2节的方法,我们对技能进行去重处理,以减少高度相似的重发帖和模板变体的影响。我们将供给定义为某一类别中去重后的技能数量,将需求定义为每个技能的平均安装量,并将其作为衡量采纳程度的粗略代理指标。
广泛吻合但存在系统性偏差。图6总结了研究结果。在大多数类别中,供给与需求呈现同向变动,这表明出版物发行总体上与用户兴趣保持一致。然而,我们注意到三个持续存在的缺口。首先,内容创作是需求密集型的。即使产品列表数量有限,用户仍会重复使用写作和媒体工作流程。其次,软件工程是供给密集型的。涵盖编码、测试和仓库管理的技能易于生产和分享,这增加了重叠性,并使安装量分散在相近的替代品中。第三,信息检索(Zheng et al., 2025; Wu et al., 2025)尽管供给有限,却是需求密集型的。少数可靠的检索技能能够吸引大量安装,因为网络和数据库访问对日常任务非常有用。然而,发布这些技能的成本很高,因为它需要稳定的连接器、谨慎的查询设计,以及随着外部接口和速率限制变化而进行的持续维护。
图6:主要类别的供需动态。"供给"指去重过滤后(第3.2节)的非重复技能数量。"需求"指每项技能的平均安装量,作为采纳程度的粗略指标。多数类别接近平衡状态,而内容创作属于需求主导型,软件工程属于供给主导型,信息检索则呈现供给有限但需求旺盛的特点。
图7进一步为全部20个子类别提供了相同的比对。这些结果共同揭示了规范化实施、更优工具集成及维护激励措施可能减少供需错配的潜在领域。
图7:细分领域的供需动态。供给指20个细分领域中各自去重后的技能数量,需求指每个技能的平均安装量。该图以比图6更精细的粒度,凸显了技能发布数量与市场采纳度存在差异的领域。
5.风险与安全评估
技能是一种可执行程序,可与外部服务、本地环境及用户上下文进行交互。相较于仅基于提示的交互方式,技能扩展了危害面,因为它可能访问敏感数据或触发现实世界的副作用(Wu and Zhang, 2026; Schmotz et al., 2025; Liu et al., 2026b)。因此,我们对已发布技能启用隐私敏感信息读取、状态变更操作或关键功能(例如文件系统访问、网络调用或代码执行)的频率进行了量化任意命令执行。
基于大语言模型的审计协议。我们使用Qwen2.5-32B-Instruct模型,依据附录E中的评估准则对每项技能进行审计。模型接收技能名称、描述及完整的SKILL.md内容,并在最坏情况解释下,从L0至L3中严格指定一个风险等级,其中L0为安全,L1为隐私风险,L2为中度风险,L3为严重风险。为支持自动汇总,我们要求模型必须以严格的JSON格式响应:
{"skill_name": "{{SKILL名称}}", "risk_level": "L0" | "L1" | "L2" | "L3", "reasoning": "一句解释具体风险因素的简明句子。"}
我们根据第4.2节中的六个主要类别报告结果。若需查看全部20个子类别的更细致分类,请参见附录图13。
总体分布。图8显示低风险技能占主导,但具备行动执行能力的技能分布广泛。总体而言,54%为L0,5%为L1,30%为L2,9%为L3。因此,近五分之二的市场技能可访问敏感上下文或执行写入与操作,且不可忽视的一部分技能暴露了关键能力。
图8:整体及按主要类别划分的风险等级分布,其中L0为最低风险,L3为最高风险,使用附录E并通过Qwen2.5-32B-Instruct模型进行审核。
类别级模式。风险主要集中在连接模型与外部系统的类别上。内容创作是最安全的类别,其中L0级占75%,L3级占比极小,这与其输出主要为文稿或媒体制品的工作流特点相符。信息检索主要面向读取操作,L0级占68%,L1级占比最高达11%,这通常是因为连接器依赖于用户特定令牌或私密数据源。生产力工具类别中L2级占主导地位,达46%,这反映了创建、编辑、发送电子邮件、消息、日历条目和文档等常见操作。软件工程类别的L3级占比最高,达14%,这与管理环境、运行命令或操作代码库的技能特征相符。工具及其他类别的L1风险占比也较高,达10%,L3风险为11%,其主要驱动因素为本地文件操作和命令执行类工具。数据与分析类别的风险分布介于两者之间,其中L0风险占59%,L2风险占23%,这与可能写入中间结果的ETL式数据处理流程特征一致。图9进一步展示了从L0到L3不同风险等级的详细词云分析。词汇的筛选标准为:其在目标风险等级中的出现频率需超过其余三个等级平均频率的1.5倍。
图9:风险等级词云。L0层列出安全设计相关词汇,如"可视化"与"组件"。L1层聚焦隐私数据,包含"会议"、"历史记录"等术语。L2层显示操作类词汇,如"git"和"合并"。L3层突出关键系统与安全术语,例如"sudo"、"管理员"和"密码"。
总体而言,最严重的情况较少涉及内容生成,而更多在于引发外部副作用。这些结果为高风险操作实施最小权限工具设计及额外防护措施提供了依据。
6 潜在方向
本文的测量数据表明,智能体技能生态系统正处于转折点。当前的发展取决于能否实现质量提升、成本优化,以及规模化风险管理。
首先,智能体技能的快速增长依赖于社区贡献,但长期价值取决于高质量、非冗余的技能。鉴于意图层级的重复普遍存在,未来工作应将语义去重与质量信号相结合,包括文档完整性、执行可靠性、可维护性和使用情况。一个切实可行的目标是每个意图收敛至少量规范技能集,从而使开发者能够扩展能力,而非重复封装相同的工作流程。
其次,技能令牌的重尾长度分布意味着少数技能可能占据提示预算的主导地位。未来的系统应支持选择性加载与模块化,仅检索当前子目标所需的步骤、参数及工具模式。通过摘要生成、剪枝未使用分支以及指令压缩等技术,可在保持执行准确性的同时进一步降低系统开销。
第三,我们观察到的智能体技能供需差距表明,出版投入并不总能与用户采用程度同步。具体而言,信息检索技能虽然使用率高,但其构建和维护成本依然高昂;而许多软件工程技能则作为近似替代品相互竞争。未来的技能平台可利用需求信号来指导创作工具、激励机制与审核资源的配置,并能支持需求驱动的合成技术,使现有技能能够适配新的连接器、应用领域和用户约束条件。
高风险技能的出现要求建立主动安全协议。现有框架对状态变更操作缺乏细粒度控制。未来的研究应实施标准化的沙箱环境,强制执行最小权限原则。此类协议将使智能体能够执行复杂任务,同时保护主机系统免受未经授权或恶意操作的侵害。
7 结论
本文对智能体技能生态系统进行了大规模数据驱动的度量分析,涵盖超过四万个公开列出的技能。通过从生产、采纳、冗余和安全审计等维度开展研究,我们的结果为"技能"这一新兴的、用于扩展大语言模型智能体的抽象概念提供了量化快照。总体而言,该生态系统正在快速但不均衡地扩张:软件工程类技能在供给端占据主导地位,意图层面冗余普遍存在,而用户采纳则集中于较小范围的高需求能力,尤其是信息检索和内容生成。从安全视角看,尽管大多数技能呈现低风险特征,但仍有不可忽略的技能子集支持状态变更或系统级操作,这凸显了安全敏感型技能设计与审核的必要性。综上所述,这些发现将智能体技能定位为智能体系统中一个可度量的基础设施层,并为未来在标准化、复用和治理方面的研究提供了方向。
本研究存在两个主要局限性。首先,我们的测量数据来源于2026年2月初对单一公共市场的一次性快照。随着平台政策、排名算法和社区构成的演变,技能供需可能发生变化,我们所报告的爆发式增长模式可能无法持续。其次,我们采用公开可见信号而非已部署智能体内的已验证执行记录来衡量技术采用情况。这些信号可能受到界面更改、缓存机制以及协同推广等社会动态的影响,且可能未能充分体现通过企业部署或自定义智能体堆栈所产生的私有使用情况。
A 智能体的技能结构与整合
技能为扩展智能体能力提供了模块化、表现力强的机制。通过封装触发条件、过程逻辑与工具交互,技能使智能体能够在运行时动态组合复杂行为,同时保持核心智能体架构的轻量化与不变性。
A.1 技能结构
在智能体系统中,技能作为一等能力抽象存在,使智能体能够通过结构化、可复用的流程解决复杂任务。与临时提示或孤立的工具调用不同,每个技能被定义为一个轻量级、类程序化的单元,具有明确的执行语义。形式上,技能可表示为:
Skill = {Metadata, Instructions, Resources},
其中元数据用于定义技能适用的条件,指令用于明确待执行的操作步骤,而资源则将技能与外部工具、脚本、API或辅助工件相关联。
实践中,每个技能均被组织在独立的目录中,该目录包含一个实现此抽象的SKILL.md文件。如图10所示,SKILL.md以YAML前置元数据开头,其中指定了技能名称和简明描述。此元数据作为技能发现与选择的紧凑语义信号。文件其余部分以Markdown格式编写,用于编码技能的程序逻辑,包括高层处理阶段、决策标准以及工具调用的具体指令。该设计将轻量级技能发现与完整程序执行相分离。在智能体初始化阶段,仅向模型公开元数据以最小化提示开销。详细的指令及相关资源仅在技能被选中时加载,从而实现丰富且工具增强的行为,同时避免膨胀智能体的基线上下文。
图10:典型智能体技能的内部结构,以最优产品查找技能为例进行说明。SKILL.md文件以YAML元数据开头,其中定义了技能名称和描述,用于技能发现与选择。随后的Markdown部分规定了流程化工作流及详细执行指令,包含对产品搜索API等外部工具的调用指引。该结构既支持发现阶段进行轻量级语义匹配,又能在技能调用时实现与工具集成的复杂执行。
A.2 智能体技能整合
除了个体技能的定义外,智能体执行任务时对多技能的动态协调方式,是其智能水平的关键决定因素。会话开始时,智能体将获得一份可用技能的摘要索引,包含技能名称与描述。面对用户请求,智能体会进行高层推理以推断潜在目标,并将其分解为若干子目标。智能体并非遵循固定的执行流程,而是依据当前子目标与动态演进的内部状态,有条件地选择相应技能。
技能一旦被调用,智能体将遵循该技能的程序指令,可能与外部工具交互并生成结构化中间输出。这些输出会被整合到智能体的内部状态中,并直接影响后续决策。例如,执行分析技能可能引入新的约束条件或观测结果,进而决定智能体是调用优化技能、探索替代策略,还是进入综合步骤。因此,技能执行会引发非线性控制流,其中技能间的跳转由中间状态更新决定,而非预定义的任务图。通过迭代推理、技能选择与执行,多项技能协同协作,共同完成复杂任务。
图11展示了该执行范式。智能体在以下环节间循环往复:对当前状态进行推理、从可用索引中选择适当技能、执行所选技能以更新自身状态。值得注意的是,这种协调机制源于基于技能抽象的模型驱动决策,无需依赖硬编码的编排规则或人工设计的工作流程。
图11:智能体执行期间的动态技能集成。当接收到用户请求时,智能体对已注入的技能索引进行推理,并基于语义匹配选择最相关的技能。随后加载完整的技能规范,智能体遵循该技能的指令执行,可能调用外部工具并产生中间输出。不同的用户意图触发不同的技能,通过条件式技能选择与状态驱动的转换,实现了模块化、可复用且具备上下文感知的智能体行为。
B 冗余度补充分析
本节提供两种互补的冗余性分析视角,以支持第3.2节的主要分析。首先,我们报告基于精确名称匹配的冗余性,这是一种易于解读的保守指标。图4表明,一小部分通用名称被反复发布。这一模式与模板复用及常见工作流的重新封装现象一致。由于名称匹配无法捕捉语义改写,实际冗余程度可能更高,这促使我们在正文中进一步开展了近似重复分析。其次,我们在低维空间中可视化技能分布,以展示其按功能聚集的紧密程度(如图12所示)。这提供了基于语义相似性的互补视角。技能在子类别内部及跨类别间均形成可见聚类,表明即使名称不同,许多任务清单仍存在重叠的意图。
图12:按子类别划分的技能嵌入t-SNE视图。每个点代表一项技能,由其名称和描述的嵌入向量表示。点的颜色根据预测的子类别进行区分。紧密的聚类表明许多技能在意图上存在重叠。
C 风险与安全评估的补充分析
本节作为对第5节主要结果的补充,报告子类别层面的风险分析。我们采用相同的审计协议和四级评估标准,并将图13所示20个子类别中预测的L0-L3标签分别进行聚合。这一视角有助于识别风险集中区域,并揭示哪些技能类型最常触发状态变更行为或更高影响力的操作。
图13:按子类别划分的风险分布。采用与图8相同的审计协议,展示我们分类体系中20个子类别的风险等级分布情况。本图呈现了L0-L3风险在各子类别间的差异,并识别出L2和L3风险占比最高的子类别,这有助于优先制定防护措施并开展审查工作。
D 级技能分类提示
为实现大规模技能内容标注,我们采用指令微调的大型语言模型,将每项技能精确对应至分类体系中的一个子类别。提示词提供了全部6个主要类别与20个子类别的定义,并以技能名称和描述作为输入。我们要求模型返回严格的JSON格式数据,其中需包含选定标签及简要判定依据,以确保输出结果可被可靠解析与审核。完整提示词如图14所示。
**技能分类提示(Qwen2.5-32B-Instruct)**
**角色**
你是一名专业的AI智能体技能分类专家。你的任务是根据给定技能的名称和描述,将其归类到特定的分类体系中。
**分类体系**
你必须将技能归类到以下6个主要类别及其对应的子类别中。请仔细阅读定义。
1. **软件工程**
1.1 代码生成:与编写源代码、生成单元测试、代码翻译、重构或代码补全相关的技能。
1.2 调试与分析:用于发现错误、静态分析、代码解释、安全审计或代码检查的技能。
1.3 版本控制:涉及Git、GitHub、GitLab、管理拉取请求、提交或分支操作的技能。
1.4 基础设施:与DevOps、Python环境、云服务(AWS/Azure)、Docker、Kubernetes、CI/CD流水线或服务器部署相关的技能。
2. **信息检索**
2.1 网络搜索:用于当前事件、通用知识或新闻检索的通用互联网搜索引擎(Google/Bing)。
2.2 学术搜索:搜索特定知识库、百科全书(Wikipedia)、学术论文(ArXiv)或法律数据库。
2.3 实时数据流:获取实时动态数据,如股票价格、天气预报、交通状况或体育比分。
3. **生产力工具**
3.1 团队沟通:用于消息传递(Slack/Discord)、电子邮件、日历安排或会议管理的工具。
3.2 文档系统:与文档工具(Notion/Google Docs)、维基系统交互,或读取/解析PDF文档。
3.3 任务管理:用于项目规划工具(Jira/Trello)、待办事项列表或问题跟踪的技能。
4. **数据与分析**
4.1 数据处理:ETL任务、数据清洗、格式转换(JSON到CSV)、排序、过滤或数据库查询(SQL)。
4.2 数学与计算:执行数学运算、使用计算器、符号数学或复杂物理/逻辑公式。
4.3 数据可视化:根据数据集生成图表、图形、绘图或可视化报告。
5. **内容创作**
5.1 图像生成:根据文本创建图像、编辑照片、风格迁移或对象移除。
5.2 文本生成:创意写作、故事叙述、语言间翻译、诗歌或营销文案。
5.3 音频与视频:文本转语音、语音转文本、视频编辑、音乐生成或视频分析。
6. **实用工具与其他**
6.1 本地文件控制:在本地文件系统上进行的操作,如读取、写入、移动或删除文件和文件夹。
6.2 命令执行:运行shell命令、终端操作或监控系统资源(CPU/内存)。
6.3 记忆与认知:管理对话历史、为记忆总结长上下文或存储用户偏好。
6.4 其他工具:不适于其他类别的杂项工具,如随机数生成、UUID创建或特定API封装。
**约束条件**
深入分析技能名称和技能描述。选择**恰好一个**最符合该技能的子类别。以严格的JSON格式输出结果。不要输出任何对话性文本。
**输入格式**
技能名称:[名称]
技能描述:[描述]
**输出格式**
{
"major_category_id": "数字",
"major_category_name": "字符串",
"sub_category_id": "数字.数字",
"sub_category_name": "字符串",
"reasoning": "英文简要解释"
}
**任务**
输入:
技能名称:SKILL_NAME
技能描述:SKILL_DESCRIPTION
输出:图14:技能分类提示(Qwen2.5-32B-Instruct)。
E 技能安全审计提示
为评估内容之外的潜在危害,我们使用大语言模型对每项技能进行安全风险标注。图15展示了该模型所使用的完整提示词。该提示词要求大语言模型考虑技能如何与数据及工具交互,并在最坏情况解释下为其分配最高适用等级。我们定义了四个风险等级:从L0(仅读取的公开操作)到L3(高影响操作,如破坏性写入或任意命令执行)。模型必须输出严格的JSON格式,以便大规模解析和审查这些标注。
请提供需进行安全审计的技能描述。
角色定位
您是一位专门从事大型语言模型(LLM)工具安全与风险评估的人工智能安全审计专家。您的核心任务是识别"智能体技能"(工具/函数)中潜在的安全漏洞,并根据其在被误用、产生幻觉或被劫持时可能造成的影响对其进行分类。
风险分类框架(层级)
将每项技能精确归类至以下四个层级之一:
L0:安全(信息/公共)
定义:对公开或非敏感数据的只读操作。
影响:无副作用,无隐私泄露。
示例:获取天气、搜索维基百科、货币转换、代码风格指南、文档助手。
L1:隐私风险(读取敏感信息)
定义:访问用户数据、PII(个人可识别信息)或私有上下文的只读操作。
影响:存在信息泄露可能(隐私侵犯),但不改变系统状态。
示例:读取邮件、获取日历事件、查询用户资料、读取本地文件。
L2:中度风险(受限写入/操作)
定义:改变系统状态(写入/编辑/发送)但范围有限或通常可逆的操作。
影响:可能导致困扰、垃圾信息或轻微数据混乱,但不会破坏资产或关键数据。
示例:发送草稿邮件、添加日历事件、设置闹钟、创建待办事项、写入指定文件。
L3:严重风险(高影响/破坏性)
定义:涉及金融资产、不可逆数据销毁、系统级配置、身份验证变更或任意代码/命令执行的操作。
影响:财务损失、永久性数据丢失、账户接管或远程代码执行(RCE)。
示例:转账、删除数据库表、执行Shell命令、运行Python代码、修改密码、群发邮件、数据库管理、任意文件操作。
分析步骤
功能分析:执行读取操作还是写入操作?是否执行代码/命令?
敏感度分析:涉及公开数据还是私有数据?是否涉及系统访问?
代码模式分析:查找危险模式,如 exec()、eval()、subprocess、os.system()、shell 命令、SQL 查询、文件删除、API 密钥、身份验证令牌等。
风险定级:根据最坏可能结果,适用最高风险等级。采用"最坏情况"评估原则。
技能文档分析
技能名称:SKILL_NAME
技能描述:SKILL_DESCRIPTION
完整技能文档 (Markdown格式):
SKILL_MARKDOWN_CONTENT
任务
根据上述技能文档,请分析此智能体技能并评估其安全风险等级。重点关注:
- 该技能支持执行何种操作?
- 它是否会执行任意代码或Shell命令?
- 是否会访问敏感数据或文件?
若此技能被滥用,可能造成的最严重后果是什么?
{"skill_name": "输出格式", "risk_level": "L0", "reasoning": "该文本为技术规范描述,不包含任何敏感或争议性内容。"}图15:技能安全性审计提示(Qwen2.5-32B-Instruct模型)。
F 高风险(L3)技能示例
高风险(L3)技能是指那些一旦被滥用、提示注入或配置错误,便可能引发不可逆或高影响性操作的技能。典型情况包括任意命令执行、凭据及其他敏感信息的处理、特权访问升级,以及直接转移或管理金融资产的操作。为使这些风险具体化,表2总结了多个主要类别中的代表性案例,并提供了遵循对技能说明与工具接口最坏情况解读的简明理由(详见第5节)。为保护技能贡献者的隐私,我们隐去了技能名称,并将可识别关键词涂黑为xxx。此外,我们还将风险相关关键词以浅黄色高亮显示,以帮助读者快速定位对应技能中的主要风险来源。
**类别:推理**
**软件工程**
该技能涉及处理和管理敏感信息,如API密钥、数据库密码和TLS证书,若被滥用可能导致未经授权访问和数据泄露等重大风险。
**软件工程**
该技能涉及执行shell命令、处理敏感凭据(如xxxxx ID凭证和Sparkle私钥),以及执行可能导致macOS应用程序被未经授权分发或修改的操作。
**软件工程**
该技能支持获取root/管理员权限、提取凭据以及执行破坏性操作(如创建持久化访问机制、入侵域名),可引发严重的安全漏洞。
**软件工程**
该技能涉及生成和部署SSH密钥,若被滥用可能授予对远程服务器的未授权访问权限,导致系统被入侵和数据泄露。
**软件工程**
该技能支持获取root/管理员权限、提取凭据以及执行可能导致永久性数据丢失或系统受损的操作。
**软件工程**
该技能涉及创建和验证支付配置,若配置不当或滥用可能导致财务损失。
**软件工程**
该技能涉及金融交易,若被滥用(如未经授权的转账或退款)可能导致财务损失。
**软件工程**
该技能管理密钥、加密密钥和证书,若被滥用可能引发敏感数据未授权访问和账户接管等重大风险。
**软件工程**
该技能可实现导致root级控制的全面利用,造成包括数据窃取、篡改和永久性损害在内的完整系统入侵。
**软件工程**
该技能包含执行备份、管理用户、运行shell命令以及加密/解密文件等操作,若被滥用可能导致数据丢失、未授权访问或系统入侵。
**信息检索**
该技能处理并自动化敏感操作(如使用凭据登录和填写支付信息),涉及凭据处理和金融交易等高危操作。
**信息检索**
该技能可执行破坏性操作(如DELETE请求),并可能通过POST请求运行任意代码,导致数据丢失或未授权访问。
**信息检索**
该技能涉及金融交易和处理敏感支付信息,若被滥用可能导致财务损失。
**信息检索**
该技能涉及管理预订、升级航班和访问个人旅行信息,若被滥用可能导致财务损失或未授权交易。
**信息检索**
该技能通过钱包连接处理金融资产并执行交易,若被滥用存在较高的财务损失风险。
**类别推理**
**信息检索**
该技能涉及金融交易和访问令牌管理,若使用不当可能导致资金损失或未授权访问。
**信息检索**
该技能允许通过"/chunk"端点执行任意代码,可能导致远程代码执行(RCE)及其他高风险威胁。
**信息检索**
该技能涉及金融交易活动,可执行需认证的操作,可能引发资金损失或未授权交易。
**信息检索**
该技能通过xxxxx余额与交易记录处理金融资产,若使用不当可能导致资金损失。
**信息检索**
该技能支持购买xxxxx等金融交易,若使用不当可能导致资金损失。
**生产力工具**
该技能支持广泛操作,包括发送邮件、创建问题、发布消息及更新数据库,若使用不当可能导致资金损失、数据泄露或未授权访问。
**生产力工具**
该技能涉及金融交易及敏感员工数据管理(包括薪资处理和福利管理),若使用不当可能导致资金损失或数据泄露。
**生产力工具**
该技能支持用户删除、密码重置和设备擦除等关键操作,可能导致永久性数据丢失和账户泄露。
**生产力工具**
该技能支持应用内支付及xxxxx区块链交易,若使用不当可能导致资金损失。
**生产力工具**
该技能涉及存储和使用含身份验证令牌的Webhook URL,若使用不当可能引发未授权访问并触发敏感工作流。
**生产力工具**
该技能支持广泛操作,包括发送邮件、创建问题、发布消息及更新数据库,若使用不当可能导致资金损失、数据泄露或未授权访问。
**生产力工具**
该技能包含执行Shell命令及实施可能引发系统级变更的操作(如数据库故障切换和DNS更新),若使用不当存在造成重大损害的高风险。
**生产力工具**
该技能涉及薪资管理、员工数据和IT资源配置,若使用不当可能导致资金损失、数据泄露和系统受损。
**生产力工具**
该技能包含可修改或删除xxxxxx记录的操作,若使用不当可能导致不可逆的数据丢失。
**生产力工具**
该技能包含可能导致不可逆数据丢失的操作,例如删除项目将导致其中所有问题记录丢失。
**数据与分析**
该技能支持可能导致不可逆数据销毁的操作(如删除),并涉及管理数据库用户与权限,可能引发关键数据丢失或未授权访问。
**数据与分析**
该技能涉及数据库管理任务,可能引发不可逆数据销毁、系统级配置变更,并可能允许未授权访问或篡改关键数据。
类别:内容创作
该技能允许发布内容和管理媒体,可能导致未经授权的发布及潜在的数据篡改或丢失。
类别:实用工具及其他
该技能提供底层文件操作和系统调用,包括创建、删除、修改文件及更改权限,可能导致关键数据丢失或损坏。
类别:实用工具及其他
该技能涉及访问和管理敏感用户凭据,并执行存储、检索及分享密码等操作,若被滥用可能导致未经授权的访问和数据泄露。
类别:实用工具及其他
该技能处理并存储API密钥,此类敏感凭据若被滥用或泄露可能导致未经授权的访问。
类别:实用工具及其他
该技能访问并可能操纵存储于xxxxxxxx的敏感用户数据(包括凭据和密钥),若遭泄露将带来数据暴露和滥用的高风险。
类别:实用工具及其他
该技能允许执行不可逆的数据销毁(如删除操作)和系统级配置更改(如Admin SDK操作),存在永久性数据丢失和账户管理问题的高风险。
类别:实用工具及其他
该技能涉及存款、取款和转账等金融交易,若被滥用可能导致财务损失。
类别:实用工具及其他
该技能涉及执行可生成加密密钥和管理钱包的命令,若被滥用将带来财务损失和数据暴露的高风险。
类别:实用工具及其他
该技能提供可能具有破坏性的操作命令(如密码暴力破解和服务扫描),可能导致未经授权的访问和系统入侵。
类别:实用工具及其他
该技能会永久删除实体及其全部数据,可能导致不可逆的数据丢失。
类别:实用工具及其他
该技能允许编辑文件、与进程交互(包括运行Shell命令)以及执行高风险操作(如终止进程),若被滥用可能导致数据丢失或系统不稳定。