Více než 178 000 uživatelů GitHubu dalo hvězdičku jedinému markdown souboru. Ten soubor jen říká AI, jak se má chovat.
Čtyři pravidla: Mysli, než kóduješ. Jednoduchost na prvním místě. Chirurgicky přesné změny. Provádění řízené cílem. A to je vše. Žádná knihovna. Žádný framework. Žádný instalátor. Forrest Chang zabalil pozorování Andreje Karpathyho o chybových režimech LLM při kódování do jediného CLAUDE.md souboru a vývojářská komunita ho v následujících měsících posunula přes 178 000 hvězdiček na GitHubu.
Když na to, co se tam stalo, přimhouříte oči, vypadá to hodně jako to, co každá inženýrská organizace časem zjistila, že potřebuje, po dostatečném množství bolesti: sdílená sada omezení pro to, jak se píše kód. Vrstva pravidel. Druh věci, který kdysi žil v kontrolním seznamu pro revizi kódu, nebo ve stylové příručce, nebo v institucionální paměti zkušeného inženýra. Komunita vibe codingu našla mnohem lehčí verzi téže disciplíny: zapsat pravidla do markdownu a nechat agenta, ať si je přečte, než začne psát kód.
Není to jednorázová záležitost. Je to vzor.
Stručně řečeno
- Ekosystém instrukcí pro agenty (CLAUDE.md, AGENTS.md, sdílené knihovny dovedností a agenti přístupnosti) se stává distribuovanou vrstvou pro vynucování kvality u kódování s asistencí AI.
- Kvalitativní mezera, na kterou reaguje, je skutečná: Snyk naskenoval 3 984 dovedností z ClawHub a skills.sh a zjistil, že 1 467, tedy 36,82 %, mělo alespoň jednu bezpečnostní vadu; 534, tedy 13,4 %, mělo alespoň jeden problém kritické úrovně.
- Reakcí komunity bylo budovat více pravidel, ne tento přístup opustit, a nyní jsou zapojeny instituce od Vercelu přes OWASP až po Linux Foundation.
Kvalitativní mezera je skutečná a komunita to ví
13,4 % souborů dovedností z komunity obsahuje kritické bezpečnostní vady. To je z zprávy ToxicSkills od Snyku, publikované v únoru 2026 po naskenování 3 984 dovedností z ClawHub a skills.sh. 36,82 % mělo alespoň jednu bezpečnostní zranitelnost. 76 jich bylo přímo škodlivých, přičemž 91 % z nich používalo jako mechanismus doručení prompt injection.
Širší příběh o kvalitě AI kódu je podobný. Podle analýzy dat z revizí kódu od CodeRabbit má kód s asistencí AI v průměru 10,83 problému na pull request oproti 6,45 u kódu psaného člověkem, zhruba 1,7krát více problémů. Roční studie kódu od GitClear uvedla, čemu říká "4násobný růst" v klonování kódu: nárůst z 8,3 % na 12,3 % změněných řádků mezi lety 2021 a 2024.
Jsou to čísla od dodavatelů, takže k jejich přesnosti přistupujte s patřičnou skepsí. Přesto jsou směrově užitečná: kódování s asistencí AI vytváří dostatečný tlak na kvalitu, aby kolem něj vývojáři budovali nové pojistky.
Důležité je, co s touto informací komunita udělala. Reakcí nebylo "soubory dovedností jsou nebezpečné, přestaňte je používat". Bylo to: OWASP spustil Agentic Skills Top 10 (AST10), ekvivalent Web Application Security Top 10 pro ekosystém dovedností. Více pravidel. Více struktury. Formální bezpečnostní rámec pro neformální ekosystém.
To je klasická inženýrská reakce, dokonce i od komunity, která se často snaží vyhýbat těžkopádným procesům.
Ekosystém, který se objevil
Během první poloviny roku 2026 to začalo vypadat méně jako hrstka izolovaných markdown souborů a více jako vrstvený ekosystém.
Začněte u behaviorální vrstvy. CLAUDE.md inspirovaný Karpathym balí verzi Forresta Changa Karpathyho pozorování o chybách LLM při kódování do jediného instrukčního souboru a nyní se nachází na více než 178 000 hvězdičkách na GitHubu, jeden z nejvíce ohvězdičkovaných repozitářů v historii GitHubu, pro soubor postavený kolem čtyř jednoduchých pravidel. Jaká ta pravidla jsou, je méně zajímavé než to, co představují: pokus zakódovat úsudek, který by zkušený inženýr uplatnil během revize kódu.
Nad tím sedí komunitní agregační vrstva. Antigravity Awesome Skills překročila 1 595+ agentických dovedností a shromažďuje znovupoužitelné playbooky pro Claude Code, Cursor, Codex CLI, Gemini CLI, Antigravity a další AI asistenty pro kódování. Funguje jako rychle se vyvíjející sdílená knihovna pro tento prostor: druh věci, kterou by normalizační výbor mohl vytvořit, kdyby se pohyboval přes GitHub místo přes PDF.
Pak se objevily frameworky. Vercel udělal z vercel-labs/agent-skills oficiální organizační repozitář, nyní na 28 000 hvězdičkách. Samotná dovednost React Best Practices obsahuje 40+ pravidel napříč osmi kategoriemi zaměřenými na výkon, včetně waterfallů, velikosti balíku, výkonu na straně serveru, načítání dat na straně klienta, optimalizace re-renderů, výkonu renderování a mikrooptimalizací JavaScriptu. Když společnost, která vlastní vaši nasazovací platformu, dodává oficiální pravidla kvality pro AI agenty, ekosystém se posunul z komunitního experimentu na produkční infrastrukturu.
A nahoře je normalizační vrstva. OpenAI věnovala specifikaci AGENTS.md Agentic AI Foundation (AAIF) při Linux Foundation spolu s MCP (Anthropic) a Goose (Block): napříč nástroji, napříč agenty, na cestě k normě. Směr míří k přenositelnosti: AGENTS.md dává týmům sdílené místo pro pokyny pro agenty specifické pro projekt, i když se jednotlivé nástroje mohou stále lišit v tom, jak tyto instrukce načítají a aplikují.
Tyto díly se neobjevily jako jeden centrálně plánovaný stack. Sblížily se, protože poptávka byla skutečná.
Rozměr, o kterém nikdo nemluví
Data o bezpečnosti a kvalitě kódu se probírají. Rozměr přístupnosti téměř nikdy.
Community-Access/accessibility-agents začal 21. února 2026 se šesti agenty. K červnu 2026: 79 specializovaných agentů napříč osmi týmy, 18 znovupoužitelných dovedností přístupnosti, cílení na WCAG 2.2 AA a podpora napříč pěti platformami: Claude Code, GitHub Copilot, Gemini CLI, Codex CLI a MCP Server, který může obsluhovat klienty kompatibilní s MCP.
Co tento projekt je, řečeno jednoduše: komunita vývojářů se rozhodla, že AI nástroje pro kódování ve výchozím nastavení generují nepřístupný kód (přeskakují pravidla ARIA, ignorují navigaci klávesnicí, vytvářejí modální okna, která uvězní čtečky obrazovky) a postavila 79 specializovaných agentů, aby vynutila pravidla, na která AI stále zapomíná.
To je pozoruhodná věc, že se stala. Frontend inženýři historicky v přístupnosti zaostávali. Je to první věc, která se pod tlakem termínu škrtne. Projekt accessibility-agents jsou vibe coders, kteří píšou pravidla, k jejichž vynucení by jinak potřebovali zkušeného inženýra, a dělají to veřejně, zdarma, napříč pěti podporovanými integracemi.
Podle mého čtení je projekt na dobrovolnické úsilí v oblasti přístupnosti neobvykle důkladný, zejména proto, že mění přístupnost z pozdní starosti QA na znovupoužitelné instrukce pro agenty, které běží během generování kódu.
Proč to bylo nevyhnutelné
Argument, že "soubory dovedností jsou jen READMEs pro AI", je férový, pokud se díváte na jeden jediný soubor. Přestává platit, když se podíváte na OWASP spouštějící bezpečnostní rámec pro ekosystém, Vercel dodávající oficiální knihovnu kvality nebo dobrovolnický projekt přístupnosti rostoucí do 79 specializovaných agentů.
Tady je to, co se vlastně děje: vynucování kvality nezmizí, když odstraníte proces. Znovu se objeví v jiné podobě, protože absence kvality rychle plodí bolest a člověk nejblíže té bolesti ji opraví u zdroje.
Tradiční inženýrská disciplína (revize kódu, stylové příručky, QA brány, architektonická správa) existuje proto, aby zachytila to, co jednotliví vývojáři pod časovým tlakem přeskočí. Funguje, když máte tým a proces. Vibe coders ze své podstaty často nemají ani jedno. Tak předkódovali revizi do instrukcí agenta.
CLAUDE.md je předkódovaná revize kódu. Awesome Skills je distribuovaná stylová příručka. AGENTS.md je norma pro správu. Slova se změnila. Funkce ne.
Co je zajímavé, není to, že se omezení znovu objevila, to bylo nevyhnutelné. Zajímavé je, že se znovu objevila rychleji než poprvé, a veřejněji, a na úrovni kvality, která zahanbuje některé inženýrské organizace se zralými procesy.
Komunita vibe codingu nevynalezla inženýrskou disciplínu znovu neochotně, pod tlakem managementu. Postavila ji, protože narazila na zeď a nástroj k její opravě byl na dosah jednoho markdown souboru.
Časté dotazy
Co patří do souboru CLAUDE.md?
Behaviorální omezení pro AI: čemu se vyhnout, co upřednostnit, architektonická pravidla, bezpečnostní výstrahy a konvence specifické pro projekt. Použití zaměřené na kvalitu jde nad rámec zkratek v pracovním postupu: pravidla jako "nikdy neodstraňuj zpracování chyb, aby prošly testy" stojí vedle "vždy používej TypeScript". Pro reálné, ověřené příklady začněte u komunitní agregace Awesome Skills. Vercel agent-skills je dalším silným zdrojem.
Co je AGENTS.md a jak se liší od CLAUDE.md?
AGENTS.md je univerzální norma pro pokyny pro agenty specifické pro projekt, vydaná OpenAI a věnovaná Agentic AI Foundation při Linux Foundation v prosinci 2025. CLAUDE.md je soubor projektových pokynů pro Claude Code. V účelu se překrývají, ale nejsou v každém nástroji identické formáty. Praktický závěr je, že týmy mohou stále častěji napsat instrukce pro agenty jednou a přizpůsobit je napříč nástroji jako Codex, Cursor, Copilot, Gemini CLI a Claude Code.
Je bezpečné používat soubory dovedností?
Dovednosti pocházející z komunity by se měly přečíst před importem. zprávy ToxicSkills od Snyku zjistil, že 36 % naskenovaných komunitních dovedností mělo alespoň jednu bezpečnostní vadu a 13,4 % mělo vady kritické úrovně, přičemž prompt injection byl primárním mechanismem útoku. OWASP Agentic Skills Top 10 je referenční rámec pro pochopení útočného povrchu. Soubory dovedností z oficiálních repozitářů nebo zavedených open-source projektů obecně nesou nižší riziko dodavatelského řetězce než anonymní příspěvky z komunity, ale stejně by se měly před importem zkontrolovat.
Co je OWASP Agentic Skills Top 10 (AST10)?
Bezpečnostní rámec OWASP z roku 2026 pro ekosystém dovedností, analogický k OWASP Web Application Security Top 10, ale konkrétně řešící útočný povrch vytvořený instrukčními soubory pro AI agenty. Pokrývá deset nejkritičtějších bezpečnostních rizik napříč platformami včetně Claude Code, Cursor/Codex a VS Code. Rámec je k roku 2026 v aktivním vývoji, s plánovaným vydáním v1.0 ve 4. čtvrtletí 2026.
Potřebuji soubory dovedností, pokud stavím osobní projekt?
Jen pokud chcete konzistentní chování AI. Bez omezení AI nástroje pro kódování optimalizují na dokončení úkolu, ne na kvalitu kódu, což funguje dobře, dokud to neprodukuje duplikovanou logiku, chybějící zpracování chyb nebo nepřístupné UI komponenty. Režie je nízká: jeden soubor na projekt, udržovaný podle toho, jak zjišťujete, co AI stále dělá špatně. Pravidla inspirovaná Karpathym jsou rozumný výchozí bod; komunitní knihovny dovedností vám umožní stáhnout si pravidla specifická pro doménu (bezpečnost, přístupnost, jazykové idiomy), aniž byste je psali od nuly.
