Agent Skills 深度解析:27K Star 的谷歌开源"紧箍咒",让 AI 按生产级标准写代码
AI 编程助手很猛,但写出来的代码经常"能跑就行"——缺测试、少安全校验、不符合规范。这是典型的"Vibe Coding"(氛围编程):感觉对了就行,质量随缘。
Addy Osmani——谷歌 Chrome 团队干了 14 年的大佬——忍不了了。他开源了一个叫 Agent Skills 的项目,目的很明确:给"自由散漫"的 AI 套上缰绳,强制输出能直接上生产环境的工业级代码。
项目上线几天就斩获 27,052 颗 Star。
一、Agent Skills 是什么?
Agent Skills 不是一个新模型,而是一套生产级工程约束框架。你可以把它理解为给 AI 请了一个严厉的资深工程师做监工,手里拿着《Google 软件工程规范》,强制 AI 按标准作业流程一步一步来。
它把软件开发分成了六个阶段:
DEFINE → PLAN → BUILD → VERIFY → REVIEW → SHIP
定义 → 规划 → 构建 → 验证 → 审查 → 交付
AI 不能跳步,必须完成当前阶段、通过检查,才能进入下一步。
二、核心机制:三招治服 AI
2.1 流程大于文本(Workflow > Text)
普通 Prompt 是告诉 AI"你要做个好孩子",Agent Skills 是告诉 AI"你先迈左脚,再迈右脚,最后举手示意"。
它提供了 7 个斜杠命令,映射到开发全生命周期:
| 你在做什么 | 命令 | 核心原则 |
|---|---|---|
| 定义要构建什么 | /spec | 先写规格再写代码 |
| 规划怎么构建 | /plan | 小而原子化的任务 |
| 增量构建 | /build | 一次一个切片 |
| 证明它管用 | /test | 测试即证据 |
| 合并前审查 | /review | 提升代码健康度 |
| 简化代码 | /code-simplify | 清晰胜过聪明 |
| 上线发布 | /ship | 越快越安全 |
2.2 反合理化机制(Anti-rationalization)
这是最绝的一招。AI 很会找借口,比如:
- "这个功能很简单,不用写测试了吧?"
- "安全审查先跳过,后续再补?"
- "这个改动太小了,不需要 Code Review。"
Agent Skills 内置了**"借口-反驳"表**。每个 Skill 都包含一张 Rationalizations 表,记录 AI 常见的偷懒借口和对应的反驳理由。只要 AI 想跳步,系统就会自动触发反驳。
| AI 的借口 | 系统的反驳 |
|---|---|
| "我会稍后添加测试" | "不会的。先写测试,再写代码。这是 TDD 的核心。" |
| "这个改动太小,不需要 Review" | "小改动也需要审查。大多数生产事故都来自小改动。" |
| "安全审查太耗时了" | "修复安全漏洞比预防安全漏洞耗时 100 倍。" |
2.3 渐进式信息披露(Progressive Disclosure)
为了不让 AI"消化不良"(上下文窗口溢出),Agent Skills 不会一次性把所有规则塞给 AI,而是按需加载:
- 到了"审查"阶段,才加载代码审查清单
- 到了"测试"阶段,才加载测试模式参考
- 到了"安全"阶段,才加载 OWASP 检查清单
既省 Token,又保证 AI 注意力集中。
三、20 个核心 Skill 详解
这 20 个 Skill 覆盖了开发全流程,每个都有结构化的步骤、验证门槛和反合理化表。
定义阶段(2 个)
- idea-refine:结构化的发散/收敛思维,把模糊的想法变成具体提案
- spec-driven-development:先写 PRD(产品需求文档),覆盖目标、命令、结构、代码风格、测试和边界,然后才写代码
规划阶段(1 个)
- planning-and-task-breakdown:把规格分解为小的、可验证的任务,带验收标准和依赖排序
构建阶段(6 个)
- incremental-implementation:薄垂直切片——实现、测试、验证、提交。特性开关、安全默认值、可回滚的变更
- test-driven-development:红绿重构循环、测试金字塔(80/15/5)、DAMP 优于 DRY、Beyoncé 规则
- context-engineering:在正确的时间喂给 AI 正确的信息——规则文件、上下文打包、MCP 集成
- source-driven-development:每个框架决策都要基于官方文档——验证、引用来源、标记未验证内容
- frontend-ui-engineering:组件架构、设计系统、状态管理、响应式设计、WCAG 2.1 AA 无障碍
- api-and-interface-design:契约优先设计、Hyrum 定律、One-Version 规则、错误语义、边界验证
验证阶段(2 个)
- browser-testing-with-devtools:用 Chrome DevTools MCP 获取实时运行数据——DOM 检查、控制台日志、网络追踪、性能分析
- debugging-and-error-recovery:五步分诊:复现→定位→缩小→修复→防护。Stop-the-line 规则、安全降级
审查阶段(4 个)
- code-review-and-quality:五轴审查、变更尺寸(~100 行)、严重性标签、审查速度规范
- code-simplification:切斯特顿篱笆原则、500 行规则、在保持行为不变的前提下降低复杂度
- security-and-hardening:OWASP Top 10 防护、认证模式、密钥管理、依赖审计、三层边界系统
- performance-optimization:度量优先——Core Web Vitals 目标、性能分析工作流、包大小分析、反模式检测
交付阶段(5 个)
- git-workflow-and-versioning:主干开发、原子提交、变更尺寸、提交即存档点
- ci-cd-and-automation:Shift Left、越快越安全、特性开关、质量门禁流水线、失败反馈循环
- deprecation-and-migration:代码即负债思维、强制/建议性废弃、迁移模式、僵尸代码清理
- documentation-and-adrs:架构决策记录、API 文档、内联文档标准——记录"为什么"
- shipping-and-launch:上线前检查清单、特性开关生命周期、分阶段灰度、回滚程序、监控配置
四、3 个专家 Agent
项目还预配置了 3 个专家角色,用于针对性审查:
| Agent | 角色 | 视角 |
|---|---|---|
| code-reviewer | 资深工程师 | 五轴代码审查,"资深工程师会批准这个吗?" |
| test-engineer | QA 专家 | 测试策略、覆盖率分析、"证明它"模式 |
| security-auditor | 安全工程师 | 漏洞检测、威胁建模、OWASP 评估 |
五、4 份参考清单
Skill 按需加载的补充材料:
- testing-patterns.md:测试结构、命名、Mock、React/API/E2E 示例、反模式
- security-checklist.md:提交前检查、认证、输入验证、Headers、CORS、OWASP Top 10
- performance-checklist.md:Core Web Vitals 目标、前端/后端清单、度量命令
- accessibility-checklist.md:键盘导航、屏幕阅读器、视觉设计、ARIA、测试工具
六、兼容哪些工具?
Agent Skills 是纯 Markdown 格式,理论上兼容任何接受系统提示的 AI 代理。官方提供了以下工具的安装指南:
| 工具 | 安装方式 |
|---|---|
| Claude Code(推荐) | /plugin marketplace add addyosmani/agent-skills |
| Cursor | 复制 SKILL.md 到 .cursor/rules/ |
| Gemini CLI | gemini skills install 命令 |
| Windsurf | 添加到规则配置 |
| GitHub Copilot | 用 agents/ 目录作为 Copilot 人格 |
| Kiro IDE | 放到 .kiro/skills/ 目录 |
| Codex / 其他 | 直接作为系统提示使用 |
七、Agent Skills vs MCP
很多人会问:已经有 MCP 了,这东西有什么不同?
一个形象的比喻:
- MCP 是"手和脚":解决 AI 怎么连接外部工具(连数据库、调 API),让 AI 能"做事"
- Agent Skills 是"大脑和 SOP":解决 AI "怎么做才对",先做什么后做什么,遵循什么标准
两者完全互补,不是替代关系。
八、为什么值得关注?
Agent Skills 最大的价值不在于它教你用 AI,而在于它把 Google 内部验证了十几年的工程实践,打包成了 AI 可以直接执行的流程。
它深度融合了《Software Engineering at Google》里的理念:
- Hyrum 定律出现在 API 设计中
- Beyoncé 规则和测试金字塔出现在测试中
- 变更尺寸和审查速度规范出现在代码审查中
- 切斯特顿篱笆原则出现在代码简化中
- 主干开发出现在 Git 工作流中
- Shift Left 和特性开关出现在 CI/CD 中
这不是泛泛而谈的"最佳实践"——它是直接嵌入到 AI 逐步执行的工作流中的硬性约束。
如果你受够了 AI 产出的"一次性代码",给 Agent Skills 一个机会。27K Star 不是凭空来的。
GitHub: github.com/addyosmani/agent-skills
协议:MIT