超过 178,000 名 GitHub 用户给一个 markdown 文件加了星。这个文件只是告诉 AI 如何行事。
四条规则:编码前先思考。简单优先。手术式改动。目标驱动的执行。就这些。没有库。没有框架。没有安装程序。Forrest Chang 把 Andrej Karpathy 关于 LLM 编码失败模式的观察打包进了一个 CLAUDE.md 文件,而在随后的数月里,开发者社区把它推过了 178,000 个 GitHub 星。
如果你眯起眼睛看那里发生的事,它看起来很像每个工程组织在经历了足够多的痛苦之后,最终发现自己所需要的东西:一套关于代码该如何编写的共享约束。一个规则层。那种过去存在于代码评审清单里、风格指南里、或一位资深工程师的机构记忆里的东西。vibe coding 社区找到了同一套纪律的一个轻得多的版本:把规则用 markdown 写下来,在 agent 编写代码之前让它读一读。
这不是一次性事件。这是一种模式。
TL;DR
- agent 指令生态系统(CLAUDE.md、AGENTS.md、共享技能库以及无障碍 agent)正在成为 AI 辅助编码的一个分布式质量强制执行层。
- 它所回应的质量缺口是真实存在的:Snyk 扫描了来自 ClawHub 和 skills.sh 的 3,984 个技能,发现其中 1,467 个,即 36.82%,至少有一个安全缺陷;534 个,即 13.4%,至少有一个严重级别的问题。
- 社区的回应是构建更多规则,而不是放弃这套做法,从 Vercel 到 OWASP 再到 Linux Foundation,这些机构如今都已参与其中。
质量缺口真实存在,社区也心知肚明
13.4% 的社区技能文件含有严重的安全缺陷。这出自 Snyk 的 ToxicSkills 报告,该报告在扫描了来自 ClawHub 和 skills.sh 的 3,984 个技能后,于 2026 年 2 月发布。36.82% 至少有一个安全漏洞。76 个是彻头彻尾的恶意技能,其中 91% 以提示注入作为投放机制。
更宏观的 AI 代码质量情况也类似。根据 CodeRabbit 对代码评审数据的分析,AI 辅助的代码平均每个 pull request 有 10.83 个问题,而人工编写的代码为 6.45 个,大约多出 1.7 倍。GitClear 的年度代码研究报告了它所称的代码克隆「4 倍增长」:在 2021 年至 2024 年间,从被改动行的 8.3% 上升到 12.3%。
这些是厂商给出的数字,所以对其精确度应抱以适度的怀疑。尽管如此,它们在方向上是有用的:AI 辅助编码正在制造出足够大的质量压力,使开发者开始围绕它构建新的护栏。
重要的是社区拿这些信息做了什么。回应并不是「技能文件很危险,别再用了」。而是:OWASP 推出了 Agentic Skills Top 10 (AST10),即技能生态系统版的 Web 应用安全 Top 10。更多规则。更多结构。给一个非正式生态系统配上一套正式的安全框架。
这是一种经典的工程式回应,即便来自一个常常试图避免重量级流程的社区。
那个出现了的生态系统
在 2026 年上半年里,这件事开始看起来不再像是一小撮孤立的 markdown 文件,而更像是一个分层的生态系统。
先从行为层说起。 受 Karpathy 启发的 CLAUDE.md 把 Forrest Chang 对 Andrej Karpathy 关于 LLM 编码失败观察的整理打包进了一个指令文件,如今它的 GitHub 星数已超过 178,000,是 GitHub 历史上星数最多的仓库之一,而它只是一个围绕四条简单规则构建的文件。这些规则是什么,远不如它们所代表的东西有意思:一次将资深工程师在代码评审中所运用的判断力加以编码的尝试。
在它之上是一个社区聚合层。Antigravity Awesome Skills 已经越过 1,595+ 个 agentic 技能,收集了面向 Claude Code、Cursor、Codex CLI、Gemini CLI、Antigravity 以及其他 AI 编码助手的可复用操作手册。它的运作方式像是这个领域里一个快速演进的共享库:如果一个标准委员会的工作是通过 GitHub 而非 PDF 推进,它可能会产出的那种东西。
接着框架登场了。Vercel 把 vercel-labs/agent-skills 做成了一个官方组织仓库,如今已有 28,000 个星。单是 React Best Practices 这一个技能就包含 40+ 条规则,横跨八个以性能为中心的类别,包括 waterfall、bundle 体积、服务端性能、客户端数据获取、重渲染优化、渲染性能以及 JavaScript 微优化。当那家拥有你部署平台的公司为 AI agent 推出官方质量规则时,这个生态系统就已经从社区实验毕业、升级为生产基础设施了。
而在最顶层,是一个标准层。OpenAI 把 AGENTS.md 规范捐给了 Linux Foundation 的 Agentic AI Foundation(AAIF),与之并列的还有 MCP(Anthropic)和 Goose(Block):跨工具、跨 agent、走标准化路线。方向是朝着可移植性发展:AGENTS.md 给团队提供了一处共享的、放置项目专属 agent 指引的地方,尽管各个工具在如何加载与应用这些指令上可能仍有差异。
这些部件并非作为一套集中规划的技术栈出现。它们之所以汇聚到一起,是因为需求是真实的。
没人在谈论的那个维度
安全与代码质量数据得到了报道。无障碍这个维度几乎从未被提及。
Community-Access/accessibility-agents 于 2026 年 2 月 21 日以六个 agent 起步。截至 2026 年 6 月:79 个专门的 agent,横跨八个团队,18 个可复用的无障碍技能,以 WCAG 2.2 AA 为目标,并支持五个平台:Claude Code、GitHub Copilot、Gemini CLI、Codex CLI,以及一个能为 MCP 兼容客户端提供服务的 MCP Server。
用大白话说,这个项目是这么回事:一群开发者认定,AI 编码工具默认会生成无障碍性糟糕的代码(它们跳过 ARIA 规则、忽略键盘导航、产出会困住屏幕阅读器的模态框),于是构建了 79 个专门的 agent,去强制执行那些 AI 一再忘记的规则。
这是一件了不起的事。前端工程师在无障碍方面历来交付不足。在截止日期的压力下,它是第一个被砍掉的东西。accessibility-agents 项目就是 vibe coder 在编写那些他们本来需要一位资深工程师来强制执行的规则,而且是公开地、免费地、跨五个受支持的集成在做这件事。
依我的解读,对于一个志愿性质的无障碍项目而言,这个项目异乎寻常地周全,尤其因为它把无障碍从一个迟来的 QA 关切,变成了在代码生成期间运行的可复用 agent 指令。
为什么这是必然的
「技能文件不过是给 AI 看的 README」这一论点,如果你只看任何单独一个文件,是说得通的。但当你看到 OWASP 为这个生态系统推出一套安全框架、Vercel 推出一个官方质量库、或一个志愿性的无障碍项目成长为 79 个专门 agent 时,它就站不住脚了。
实际发生的事情是这样的:当你移除流程时,质量强制执行并不会消失。它会以另一种形式重新出现,因为质量的缺失会很快产生痛苦,而离那份痛苦最近的人会从源头把它修好。
传统的工程纪律(代码评审、风格指南、QA 关卡、架构治理)的存在,是为了捕获个体开发者在时间压力下跳过的东西。当你有一个团队和一套流程时,它行得通。而 vibe coder 在设计上往往两者皆无。于是他们把评审预先编码进了 agent 的指令里。
CLAUDE.md 是预先编码的代码评审。Awesome Skills 是一份分布式的风格指南。AGENTS.md 是一个治理标准。词换了。功能没变。
有意思的不是这些约束重新出现了,那是必然的。有意思的是,它们重新出现得比第一次更快,更公开,而且达到了一个让某些拥有成熟流程的工程组织也会自愧不如的质量水平。
vibe coding 社区并不是在管理层的压力下勉强地重新发明了工程纪律。他们之所以构建它,是因为他们撞上了一堵墙,而修好它的工具不过是一个 markdown 文件之遥。
常见问题
一个 CLAUDE.md 文件里放些什么?
给 AI 的行为约束:要避免什么、要优先什么、架构规则、安全红线,以及项目专属的约定。以质量为中心的用法超越了工作流捷径:像「绝不为了让测试通过而移除错误处理」这样的规则,与「始终使用 TypeScript」并列。要看真实、经过验证的示例,可以从 Awesome Skills 社区聚合. Vercel 的 agent-skills 是另一个有力的参考。
什么是 AGENTS.md,它与 CLAUDE.md 有何不同?
AGENTS.md 是一个面向项目专属 agent 指引的通用标准,由 OpenAI 发布,并于 2025 年 12 月贡献给 Linux Foundation 的 Agentic AI Foundation。CLAUDE.md 是 Claude Code 的项目指引文件。它们在用途上有重叠,但在每个工具里并非完全相同的格式。实际的启示是:团队可以越来越多地把 agent 指令写一次,再将其适配到诸如 Codex、Cursor、Copilot、Gemini CLI 和 Claude Code 等多种工具上。
技能文件用起来安全吗?
社区来源的技能在导入前应当先读一遍。 Snyk 的 ToxicSkills 报告 发现,在被扫描的社区技能中有 36% 至少存在一个安全缺陷,13.4% 存在严重级别的缺陷,提示注入是主要的攻击机制。 OWASP Agentic Skills Top 10 是理解攻击面的参考框架。来自官方仓库或成熟开源项目的技能文件,通常比匿名的社区贡献承载更低的供应链风险,但在导入前仍应予以评审。
什么是 OWASP Agentic Skills Top 10(AST10)?
OWASP 在 2026 年为技能生态系统推出的安全框架,类比于 OWASP Web 应用安全 Top 10,但专门针对由 AI agent 指令文件所制造的攻击面。它涵盖了横跨多个平台(包括 Claude Code、Cursor/Codex 和 VS Code)的十大最关键安全风险。截至 2026 年,该框架处于活跃开发中,计划于 2026 年 Q4 发布 v1.0 版本。
如果我在做一个个人项目,需要技能文件吗?
只有当你想要一致的 AI 行为时才需要。在没有约束的情况下,AI 编码工具会为完成任务而优化,而不是为代码质量而优化,这在它产出重复逻辑、缺失的错误处理或无障碍性糟糕的 UI 组件之前都还行得通。开销很低:每个项目一个文件,随着你发现 AI 一再出错的地方而加以维护。受 Karpathy 启发的那些规则是一个合理的起点;社区技能库则让你能拉入领域专属的规则(安全、无障碍、语言惯用法),而无需从零编写它们。
