技能让 Agent 真正会做事

一个裸模型能回答问题。接入 skill、plugin、tool 或 MCP server 后，它才能订票、查库、改代码、发工单、生成报表。技能是 Agent 能力扩展的核心。

问题也在这里。技能一旦能改变 Agent 的行动路径，它就不再只是提示词模板，而是软件供应链的一部分。

OWASP 把 Agentic Skills 单独列 Top 10，说明安全社区已经把它当作独立风险面。

供应链风险换了载体

传统依赖包可能在安装阶段出问题，Agent 技能可能在运行时诱导错误动作。它可以偷偷扩大权限，夹带恶意指令，污染上下文，或者把敏感数据送到不该去的地方。

更麻烦的是，Agent 会根据任务自主选择技能。用户不一定知道它为什么调用了某个工具，也不一定理解那个技能背后的依赖和权限。

这让技能治理必须比普通插件市场更细。

平台要提供组织级控制

真正可用的技能生态，需要签名、来源校验、权限声明、版本锁定、运行日志和组织 allowlist。开发者可以分享技能，但企业必须决定哪些技能能进入生产。

Codex 插件和 AWS Agent Toolkit 都说明，技能生态会继续扩张。扩张本身是好事，但如果没有治理层，开放生态很快会变成安全团队的负担。

未来评价一个 Agent 平台，不能只看技能数量，还要看技能如何被验证、分发和撤销。

技能治理会变成基础设施

Agent 越依赖外部技能，平台越要像管理软件依赖一样管理它们。区别在于，这次被管理的不只是代码，还有执行意图。

能把技能供应链治理做扎实的平台，会更容易进入企业；只强调生态丰富的平台，会先遇到安全审查。