SkillHub

一、SkillHub支持哪些AI平台和工具？

1. 支持的AI智能体平台

SkillHub作为通用的技能管理工具，支持多种主流AI平台和智能体工具，用户安装的技能可在多个平台间无缝切换使用。

• WorkBuddy：腾讯云推出的个人AI助手工具，支持通过SkillHub CLI安装和管理技能，可在WorkBuddy中直接调用已安装的Skills
• QClaw：腾讯云推出的AI智能体框架，支持对接官方ClawHub生态、兼容开源Skills和MCP Server协议，可直接使用SkillHub收录的技能
• ima：腾讯AI知识管理平台，支持通过知识号发布和发现Skill，用户可将自己的知识库与Skill结合使用
• Claude Code：SkillHub CLI默认将技能安装到~/.claude/skills/目录，Claude Code可直接调用
• Cursor：支持将技能安装到~/.cursor/skills/目录，在Cursor中通过斜杠命令调用

2. 多平台兼容机制

SkillHub通过标准化的SKILL.md文件格式实现跨平台兼容，确保同一个Skill可在不同AI工具中被正确识别和执行。用户可通过skillhub link命令将已安装的技能链接到系统检测到的所有AI平台。

二、SkillHub怎么安装技能？

SkillHub提供三种安装入口：通过对话安装、命令行安装和Zip包安装。新手优先复制对话安装内容；如果已完成SkillHub命令行接入，再使用CLI命令更快。

1. 通过对话安装

复制提示词，发送给任意AI助手即可安装Skill，包括但不限于Lighthouse OpenClaw、WorkBuddy、QClaw、Kimi、Claude等。

a. 方式一：安装SkillHub和技能

请先检查是否已安装SkillHub商店，若未安装，请根据 https://skillhub.cn/install/skillhub.md 安装SkillHub商店，但是只安装CLI，然后安装目标技能。若已安装，则直接安装目标技能。

b. 方式二：安装SkillHub和技能，并设SkillHub为优先技能安装源

请先检查是否已安装SkillHub商店，若未安装，请根据 https://skillhub.cn/install/skillhub.md 安装SkillHub商店，然后安装目标技能。若已安装，则直接安装目标技能。

2. 通过命令行安装

a. 安装SkillHub CLI：在终端中执行以下命令，安装CLI并优先采用SkillHub加速安装技能

curl -fsSL https://skillhub.cn/install/install.sh | bash

b. 安装技能：安装完CLI后，执行以下命令安装目标技能

skillhub install <技能名>

c. 验证安装成功：安装完成后，执行skillhub -h命令，若正常输出帮助信息即代表安装成功

d. 支持多环境：SkillHub不仅适用于腾讯云Lighthouse服务器，同样支持Mac、Windows等本地环境

3. 通过Zip包安装

a. 下载：从SkillHub仓库获取最新的源码包，下载Zip安装包

b. 解压：将SkillHub-root目录解压到您首选的开发文件中。请保持内部目录结构，可参考目录树进行解压

c. 运行：把skill目录放到对应agent的skill目录下

三、SkillHub的技能是免费的吗？

1. 平台使用政策

SkillHub平台本身提供免费使用，用户可免费浏览、搜索和获取技能安装命令。

• 平台访问免费：访问skillhub.cn官方网站、浏览技能库、查看技能详情均不收取费用
• CLI工具免费：skillhub命令行工具的下载和安装完全免费，无付费门槛
• 基础功能免费：技能的搜索、详情查看、安全报告查阅等基础功能均免费提供

2. 技能收费模式说明

SkillHub上的技能收费模式由技能开发者决定，平台本身不参与定价。

• 免费技能：平台收录的大量技能为开源或免费共享，用户可直接安装使用
• 付费技能：部分技能可能由开发者设置为付费资源，具体收费情况以技能详情页说明为准
• 企业版技能：针对企业用户的高端技能或定制服务可能存在单独计费，需联系平台或开发者确认

四、SkillHub的技能安全吗？会不会有恶意代码？

1. 安全审核机制概述

SkillHub将安全性作为核心考量，建立了一套完整的安全审核体系，确保每个上架技能都经过严格检测。

• 三线并行审核：每个Skill上架前必须通过内容合规过滤、科恩实验室深度漏洞扫描、云鼎实验室AI模型安全评估三条独立审核流水线
• 全部通过才上架：只有当三条审核流水线全部通过时，技能才会被自动上架；任一审核不通过即拒绝上架并通知开发者修改
• 安全评估报告可查：用户安装的每个Skill都附有完整的安全评估报告，可在技能详情页查看具体检测结果

2. 常见安全风险检测

SkillHub的安全审核覆盖多个维度，重点排查以下安全风险类型：

• 供应链风险：检测技能依赖的第三方包或资源是否存在已知漏洞
• 命令执行风险：分析技能是否包含未经授权的系统命令执行逻辑
• 网络请求与数据外传：监控技能是否存在未经用户许可的数据外传行为
• 文件操作与敏感路径：检查技能对文件系统的操作是否涉及敏感目录或关键系统文件
• Prompt注入风险：评估技能的提示词是否可能被恶意利用进行注入攻击
• 远程脚本执行：检测技能是否会从远程位置下载并执行未知脚本
• 可疑编码/混淆：识别代码中是否存在故意混淆或隐藏的可疑逻辑

3. 安全检测结论示例

根据SkillHub官网上多个技能的安全评估报告样本：

• 通过安全检测：表明该技能在科恩实验室和云鼎实验室的检测中未发现安全风险
• 存在潜在风险：如某语音转文字技能在云鼎实验室检测中被标记为"可疑，存在潜在风险"，用户需谨慎评估后决定是否安装
• 安全检测结果由第三方机构出具，仅作参考，不构成平台对Skill绝对安全的承诺。网络安全具有动态性，请您自行做好安全防护和风险管控。

五、SkillHub怎么保证技能的安全性？

1. 三线并行安全审核流水线

SkillHub建立了一套自动化的安全审核流水线，从三个独立维度对技能进行全面检测。

• 第一线：内容合规过滤：对技能的SKILL.md文件及附属内容进行敏感词扫描和合规性检查，过滤违规内容
• 第二线：科恩实验室深度漏洞扫描：由腾讯科恩实验室对技能包进行深度代码检测，识别潜在漏洞和恶意行为
• 第三线：云鼎实验室AI模型安全评估：由腾讯云鼎实验室对技能进行AI模型安全和Prompt注入风险评估
• 聚合判定机制：三条流水线独立运行，最终结果通过聚合判定逻辑确定。全部通过→自动上架；任一失败→拒绝+通知修改

2. 持续安全监控

除了上架前审核，SkillHub还建立持续安全监控机制。

• 定期复检：对已上架技能进行定期安全复检，及时发现新出现的安全风险
• 用户反馈机制：用户在使用技能过程中发现安全问题，可通过平台反馈通道进行举报
• 安全报告公开：每个技能的安全评估报告对用户公开，接受社区监督

3. 安全生态建设

SkillHub与腾讯旗下安全实验室深度合作，持续提升平台安全防护能力。

• 科恩实验室：腾讯旗下信息安全研究团队，负责漏洞扫描和代码安全检测
• 云鼎实验室：腾讯云安全研究团队，负责AI模型安全和Prompt注入评估
• 腾讯玄武实验室：参与TRACE评测体系建设，负责搭建自动化评估系统

六、SkillHub的技能会泄露我的数据吗？

1. 数据安全风险管控

SkillHub将用户数据安全作为安全审核的重要组成部分，在网络请求与数据外传维度进行重点检测。

• 网络请求监控：安全审核会检测技能是否存在未经授权的网络请求行为
• 数据外传检测：分析技能代码，识别是否存在将用户数据发送到外部服务器的逻辑
• 最小权限原则：TRACE评测体系中的T（Trust）维度包含"最小权限"评估项，优先推荐权限合理的技能

2. 用户数据保护建议

尽管SkillHub已建立安全审核机制，用户仍需注意以下数据保护事项：

• 查看安全评估报告：安装技能前，建议在技能详情页查看科恩实验室和云鼎实验室的安全评估结果
• 谨慎安装标记风险的技能：如安全报告显示"存在潜在风险"，请评估必要性或联系开发者确认
• 注意技能权限请求：关注技能运行时的权限请求提示，避免授予不必要的敏感权限
• 定期审查已安装技能：定期检查已安装的技能列表，卸载不再使用或存在安全隐患的技能

3. 平台数据保护责任

根据《腾讯SkillHub服务协议》，平台对用户数据和技能安全承担相应责任。

• 技能提供者责任：技能开发者需确保技能不包含恶意代码、不非法收集用户数据
• 平台审核责任：SkillHub负责对上架技能进行安全审核，但不构成对技能绝对安全的承诺
• 用户自我保护责任：用户需自行做好安全防护和风险管控，理性评估技能安全性

七、SkillHub怎么发布自己的Skill？

1. 准备工作：编写SKILL.md文件

发布技能的第一步是编写符合规范的SKILL.md文件，这是SkillHub识别和使用技能的核心文件。

• 文件结构：SKILL.md包含YAML frontmatter（元数据）和Markdown正文（技能指令）两部分
• 必要元数据：包括name（技能名称）、description（功能描述）、version（版本号）、category（所属分类）、platforms（适用平台）等
• 技能指令编写：在正文部分详细描述技能的使用方法、执行步骤、输出格式等，确保AI能准确理解并执行

2. 通过CLI发布技能

SkillHub提供命令行工具支持技能发布，适合开发者使用。

• 登录认证：执行skillhub login命令，通过浏览器完成OAuth认证，凭证存储在~/.skillhub/auth.json
• 初始化项目：在技能项目目录下执行skillhub init --name <技能名> --category <分类>创建标准项目结构
• 推送文件：执行skillhub push将本地技能文件推送到远程SkillHub平台
• 发布上线：执行skillhub publish将技能发布到公开目录，使其对其他用户可见

3. 通过官网发布技能

SkillHub官网提供图形化发布界面，用户可在网页上完成技能发布流程。

a. 访问发布页面：登录skillhub.cn后，进入技能发布页面

b. 填写技能信息：根据页面提示填写技能名称、描述、分类、标签等元数据信息

c. 上传技能文件：将编写好的SKILL.md及相关文件上传至平台

d. AI辅助生成：官网发布页面提供AI辅助功能，可根据用户描述自动生成技能名称、描述、分类、标签和指令内容

e. 提交审核：完成信息填写后提交审核，等待平台完成安全检测后自动上架

4. 技能发布规范与建议

为提高技能通过审核的概率和后续下载量，建议遵循以下规范：

• 描述清晰准确：技能名称和描述应准确反映功能，避免误导用户
• 文档完整规范：确保SKILL.md文件结构清晰、示例充分、限制说明明确
• 遵守分类标准：将技能发布到最合适的分类下，便于目标用户发现
• 设置合理可见性：使用--visibility参数控制技能可见范围（public公开、unlisted不公开列出、private私有、org组织内可见）

八、SkillHub的AI搭子功能是什么？怎么用？

1. AI搭子功能概述

AI搭子是SkillHub推出的独特功能，允许用户通过选择Soul人格和技能包组合，打造个性化的AI助手。

• Soul人格决定风格：用户可从16种Soul人格中选择，定义AI的说话方式和思考逻辑
• 技能包决定能力：叠加不同的技能包，为AI搭子赋予特定的功能和执行能力
• 跨平台通用：组装完成的AI搭子可无缝适配WorkBuddy、QClaw、ima等多款腾讯云AI产品

2. 16种Soul人格介绍

SkillHub提供16种预设Soul人格，覆盖不同沟通风格和思维模式。

• YYDS・神人：狂拽自信天花板，主打一个"局势越乱，我越神"
• MIAO・喵之人：可爱又跳脱的喵星人，下一秒行为永远是个谜
• MUM・妈妈：温柔体贴的"人间充电宝"，永远给你稳稳的依靠
• （其他人格）：还包括风控型、执行型、协作型等多种人格类型，用户可根据使用场景选择

3. 组装AI搭子的步骤

组装AI搭子分为两步，操作简便。

a. 第一步：选择Soul：在SkillHub官网的AI搭子页面（skillhub.cn/hermes），浏览并选择心仪的Soul人格卡片

b. 第二步：选择技能包：根据需求选择要安装的技能包，可多选叠加

c. 盲盒抽取：每日提供3次盲盒抽取机会，有机会解锁专属AI搭子的独特灵魂

d. 获取使用方式：组装完成后，复制提示词发送给AI，或下载Zip包解压后使用

4. AI搭子的应用场景

不同Soul人格搭配不同技能包，可满足多样化的使用需求。

• 金融分析场景：选择理性分析型Soul，搭配行情分析、数据可视化、财报解读三个金融技能包，AI直接产出完整的金融分析报告
• 科技开发场景：选择技术专家型Soul，搭配Bug排查、自动化测试技能包，提升开发效率
• 内容创作场景：选择创意型Soul，搭配分镜、文案、剪辑技能包，一键生成创作脚本

九、SkillHub的TRACE评测体系是什么？

1. TRACE评测体系概述

TRACE是SkillHub首发的一套AI Skill质量评测体系，从五个维度全面评估Skill质量，帮助用户快速识别高质量Skill。

• 发布背景：2026年5月21日，腾讯科技、SkillHub与腾讯玄武实验室联合发布TRACE框架，这是国内首个面向Skill真实使用场景的严选评测体系
• 评测对象：以SkillHub平台收录的技能为样本来源，持续迭代评测标准
• 评测目标：解决AI Skill市场快速增长但质量评估体系滞后的问题，帮助用户判断"哪个Skill真正好用"

2. TRACE五个评测维度详解

TRACE由五个英文字母构成，对应五个评测维度，形成从安全红线到使用过程、再到结果增益的完整判断路径。

T — Trust（可信任度）

• 核心问题：能不能放心用
• 评测内容：安全检测、最小权限、敏感信息保护、国内可用性、中文支持
• 红线维度：触碰安全红线的Skill直接淘汰，不考虑其他维度得分

R — Reliability（可靠性）

• 核心问题：能不能稳定用
• 评测内容：稳定运行、一致结果、边界输入处理、异常反馈机制
• 考察Skill在标准环境下是否能持续工作，避免崩溃、超时、依赖缺失等问题

A — Adaptability（适用性）

• 核心问题：该不该在这个场景用
• 评测内容：场景匹配度、触发条件清晰度、能力边界界定、输入输出规范性
• 评估Agent能否精准识别并在适当场景下调用该Skill

C — Convention（规范性）

• 核心问题：能不能被理解、维护和复用
• 评测内容：渐进式披露、文档结构清晰度、限制说明完整性、示例充分性
• 判断Skill是否具备被理解、被运行、被评测、被复用和持续维护的基础

E — Effectiveness（有效性）

• 核心问题：是否真正解决用户问题
• 评测内容：结果正确性、输出完整性、可直接使用性、减少返工率
• 引入科学对照实验机制：在同一任务下分别测试"启用Skill"与"仅用原生模型"的表现，只有当Skill带来显著真实增益时才被视为合格

3. TRACE评测方法与特色

TRACE采用主客观结合的评测方法，确保评测结果的科学性和公正性。

• 客观对照实验：通过"no-skill参照组"判断Skill是否真正带来结果增益，避免将模型本身能力误判为Skill贡献
• 主观盲评：由旗舰模型模拟专业评审，对两组产出进行盲评，聚焦实际交付价值
• 每月一期精选榜单：为避免全量评分不可持续和头部效应垄断问题，TRACE采用每月一期、每期10款编辑精选的模式推出TOP10榜单
• 多机构协作：腾讯科技负责推动框架认知与普及、产出精选榜单；SkillHub负责以技能池为样本持续迭代评测体系；腾讯玄武实验室负责搭建自动化评估系统

十、SkillHub的技能可以商用吗？

1. 技能授权与版权说明

SkillHub上的技能是否可商用，取决于技能开发者的授权声明和许可证设置。

• 查看许可证信息：在安装技能前，建议查看技能详情页是否标注了开源许可证（如MIT、Apache 2.0、GPL等）或商用授权说明
• 开源技能：标注了宽松开源许可证（如MIT、Apache 2.0）的技能通常允许商用，但需遵守许可证具体条款（如保留版权声明）
• 未明确授权的技能：如技能详情未明确说明可商用，建议联系开发者确认授权范围，避免版权风险

2. 企业用户使用建议

企业用户在使用SkillHub技能进行商业活动时，需特别注意合规风险。

• 建立内部审核流程：对企业内部广泛使用的技能，建立审核流程，确认其授权合规性
• 优先选择明确授权的技能：在技能详情页优先选择标注了清晰授权信息或平台推荐的企业适用技能
• 避免直接使用未授权技能于商业场景：不得将未明确商用授权的技能直接用于客户交付、商业产品等场景
• 考虑企业版或定制服务：如有大规模商用需求，可联系技能开发者或SkillHub平台咨询企业版授权或定制开发服务

3. 开发者商用授权设置建议

如果您是技能开发者，计划在SkillHub发布技能并允许商用，建议在SKILL.md或相关文档中明确说明授权方式。

• 选择合适许可证：根据对技能控制力的需求，选择合适的开源许可证或撰写自定义授权条款
• 在文档中声明：在SKILL.md的YAML frontmatter或文档显眼位置声明授权方式，避免后续纠纷
• 考虑双授权模式：如希望同时提供开源版本和商业授权版本，可在发布时设置不同版本或提供联系方式供商业授