Lebih dari 178.000 pengguna GitHub memberi bintang pada satu file markdown. File itu hanya memberi tahu AI cara berperilaku.
Empat aturan: Think Before Coding. Simplicity First. Surgical Changes. Goal-Driven Execution. Hanya itu. Tidak ada library. Tidak ada framework. Tidak ada installer. Forrest Chang mengemas pengamatan Andrej Karpathy tentang mode kegagalan coding LLM ke dalam satu file CLAUDE.md, dan komunitas developer mendorongnya melewati 178.000 bintang GitHub dalam bulan-bulan setelahnya.
Jika Anda memicingkan mata pada apa yang terjadi di sana, ia terlihat sangat mirip dengan apa yang akhirnya disadari dibutuhkan oleh setiap organisasi engineering, setelah cukup banyak penderitaan: seperangkat batasan bersama tentang bagaimana kode ditulis. Sebuah lapisan aturan. Hal yang dulu hidup dalam checklist code review, atau panduan gaya, atau memori institusional seorang engineer senior. Komunitas vibe coding menemukan versi yang jauh lebih ringan dari disiplin yang sama itu: tulis aturannya dalam markdown dan biarkan agen membacanya sebelum menulis kode.
Ini bukan kejadian sekali saja. Ini adalah sebuah pola.
TL;DR
- Ekosistem instruksi agen (CLAUDE.md, AGENTS.md, library skill bersama, dan agen aksesibilitas) sedang menjadi lapisan penegakan kualitas yang terdistribusi untuk coding yang dibantu AI.
- Celah kualitas yang ditanggapinya itu nyata: Snyk memindai 3.984 skill dari ClawHub dan skills.sh dan menemukan bahwa 1.467, atau 36,82%, memiliki setidaknya satu cacat keamanan; 534, atau 13,4%, memiliki setidaknya satu masalah tingkat kritis.
- Tanggapan komunitas adalah membangun lebih banyak aturan, bukan meninggalkan pendekatannya, dan institusi mulai dari Vercel hingga OWASP hingga Linux Foundation kini ikut terlibat.
Celah Kualitas Itu Nyata, dan Komunitas Tahu Itu
13,4% file skill komunitas mengandung cacat keamanan kritis. Itu berasal dari laporan ToxicSkills milik Snyk, diterbitkan Februari 2026 setelah memindai 3.984 skill dari ClawHub dan skills.sh. 36,82% memiliki setidaknya satu kerentanan keamanan. 76 di antaranya benar-benar berbahaya, dengan 91% di antaranya memakai prompt injection sebagai mekanisme penyampaian.
Cerita kualitas kode AI yang lebih luas pun serupa. Menurut analisis CodeRabbit terhadap data code review, kode yang dibantu AI rata-rata memiliki 10,83 masalah per pull request dibandingkan 6,45 untuk kode tulisan manusia, kira-kira 1,7x lebih banyak masalah. Studi kode tahunan GitClear melaporkan apa yang disebutnya "pertumbuhan 4x" dalam kloning kode: kenaikan dari 8,3% menjadi 12,3% dari baris yang diubah antara 2021 dan 2024.
Ini adalah angka dari vendor, jadi sikapi presisinya dengan skeptisisme yang sepantasnya. Tetap saja, angkanya berguna secara arah: coding yang dibantu AI menciptakan cukup banyak tekanan kualitas sehingga developer membangun pengaman baru di sekitarnya.
Yang penting adalah apa yang dilakukan komunitas dengan informasi ini. Tanggapannya bukan "file skill berbahaya, berhenti memakainya." Tanggapannya adalah: OWASP meluncurkan Agentic Skills Top 10 (AST10), padanan ekosistem skill dari Web Application Security Top 10. Lebih banyak aturan. Lebih banyak struktur. Sebuah kerangka keamanan formal untuk ekosistem yang informal.
Itu adalah tanggapan engineering yang klasik, bahkan dari komunitas yang sering berusaha menghindari proses yang berat.
Ekosistem yang Muncul
Sepanjang paruh pertama 2026, ini mulai terlihat tidak lagi seperti segelintir file markdown yang terisolasi melainkan lebih seperti ekosistem berlapis.
Mulailah dari lapisan perilaku. CLAUDE.md yang terinspirasi Karpathy mengemas versi Forrest Chang dari pengamatan Andrej Karpathy tentang kegagalan coding LLM ke dalam satu file instruksi, dan kini ia berada di lebih dari 178.000 bintang GitHub, salah satu repositori dengan bintang terbanyak dalam sejarah GitHub, untuk sebuah file yang dibangun di sekitar empat aturan sederhana. Apa isi aturan itu kurang menarik dibandingkan apa yang mereka wakili: sebuah upaya untuk meng-encode penilaian yang akan diterapkan seorang engineer senior selama code review.
Di atasnya ada lapisan agregasi komunitas. Antigravity Awesome Skills telah melampaui 1.595+ agentic skill, mengumpulkan playbook yang bisa digunakan kembali untuk Claude Code, Cursor, Codex CLI, Gemini CLI, Antigravity, dan asisten coding AI lainnya. Ia berfungsi seperti library bersama yang bergerak cepat untuk ruang ini: jenis hal yang mungkin dihasilkan komite standar jika ia bergerak lewat GitHub alih-alih PDF.
Lalu framework-nya muncul. Vercel menjadikan vercel-labs/agent-skills sebuah repositori organisasi resmi, kini di 28.000 bintang. Skill React Best Practices saja berisi 40+ aturan di delapan kategori yang berfokus pada performa, termasuk waterfall, ukuran bundle, performa sisi server, pengambilan data sisi klien, optimasi re-render, performa rendering, dan mikro-optimasi JavaScript. Ketika perusahaan yang memiliki platform deployment Anda mengirimkan aturan kualitas resmi untuk agen AI, ekosistem telah naik kelas dari eksperimen komunitas menjadi infrastruktur produksi.
Dan di puncaknya, sebuah lapisan standar. OpenAI mendonasikan spesifikasi AGENTS.md ke Agentic AI Foundation (AAIF) milik Linux Foundation bersama MCP (Anthropic) dan Goose (Block): lintas alat, lintas agen, jalur standar. Arahnya menuju portabilitas: AGENTS.md memberi tim tempat bersama untuk panduan agen yang spesifik per proyek, meskipun masing-masing alat mungkin masih berbeda dalam cara memuat dan menerapkan instruksi tersebut.
Kepingan-kepingan ini tidak muncul sebagai satu tumpukan yang direncanakan secara terpusat. Mereka berkonvergensi karena permintaannya nyata.
Dimensi yang Tidak Dibicarakan Siapa Pun
Data keamanan dan kualitas kode mendapat liputan. Dimensi aksesibilitas hampir tidak pernah.
Community-Access/accessibility-agents dimulai pada 21 Februari 2026 dengan enam agen. Per Juni 2026: 79 agen terspesialisasi di delapan tim, 18 skill aksesibilitas yang bisa digunakan kembali, penargetan WCAG 2.2 AA, dan dukungan di lima platform: Claude Code, GitHub Copilot, Gemini CLI, Codex CLI, dan sebuah MCP Server yang bisa melayani klien yang kompatibel dengan MCP.
Apa proyek ini, secara sederhana: sebuah komunitas developer memutuskan bahwa alat coding AI secara default menghasilkan kode yang tidak aksesibel (mereka melewati aturan ARIA, mengabaikan navigasi keyboard, menghasilkan modal yang menjebak screen reader) dan membangun 79 agen terspesialisasi untuk menegakkan aturan yang terus dilupakan AI.
Itu adalah hal yang luar biasa untuk terjadi. Engineer frontend secara historis kurang memberikan hasil dalam aksesibilitas. Itu adalah hal pertama yang dipangkas di bawah tekanan tenggat. Proyek accessibility-agents adalah vibe coder yang menulis aturan yang jika tidak demikian akan mereka butuhkan seorang engineer senior untuk menegakkannya, dan melakukannya secara terbuka, gratis, di lima integrasi yang didukung.
Menurut pembacaan saya, proyek ini luar biasa menyeluruh untuk upaya aksesibilitas sukarela, terutama karena ia mengubah aksesibilitas dari urusan QA yang terlambat menjadi instruksi agen yang bisa digunakan kembali yang berjalan selama pembuatan kode.
Mengapa Ini Tak Terhindarkan
Argumen bahwa "file skill hanyalah README untuk AI" itu adil jika Anda melihat satu file mana pun. Argumen itu berhenti bertahan ketika Anda melihat OWASP meluncurkan kerangka keamanan untuk ekosistem, Vercel mengirimkan library kualitas resmi, atau proyek aksesibilitas sukarela yang tumbuh menjadi 79 agen terspesialisasi.
Inilah yang sebenarnya terjadi: penegakan kualitas tidak hilang ketika Anda menghapus proses. Ia muncul kembali dalam bentuk yang berbeda, karena ketiadaan kualitas menghasilkan penderitaan dengan cepat, dan orang yang paling dekat dengan penderitaan itu memperbaikinya di sumbernya.
Disiplin engineering tradisional (code review, panduan gaya, gerbang QA, tata kelola arsitektur) ada untuk menangkap apa yang dilewati developer individu di bawah tekanan waktu. Ia bekerja ketika Anda memiliki tim dan proses. Vibe coder, secara desain, sering tidak memiliki keduanya. Jadi mereka meng-encode review itu di muka ke dalam instruksi agen.
CLAUDE.md adalah code review yang di-encode di muka. Awesome Skills adalah panduan gaya yang terdistribusi. AGENTS.md adalah standar tata kelola. Kata-katanya berubah. Fungsinya tidak.
Yang menarik bukanlah bahwa batasan itu muncul kembali, itu memang tak terhindarkan. Yang menarik adalah bahwa mereka muncul kembali lebih cepat daripada saat pertama kali, dan lebih terbuka, dan pada tingkat kualitas yang mempermalukan sebagian organisasi engineering dengan proses yang sudah matang.
Komunitas vibe coding tidak menemukan ulang disiplin engineering dengan enggan, di bawah tekanan dari manajemen. Mereka membangunnya karena mereka membentur dinding dan alat untuk memperbaikinya hanya sejauh satu file markdown.
Pertanyaan yang Sering Diajukan
Apa yang Masuk ke dalam File CLAUDE.md?
Batasan perilaku untuk AI: apa yang harus dihindari, apa yang harus diprioritaskan, aturan arsitektur, tanda bahaya keamanan, dan konvensi spesifik per proyek. Penggunaan yang berfokus pada kualitas melampaui sekadar jalan pintas workflow: aturan seperti "jangan pernah menghapus penanganan error untuk membuat tes lolos" berdampingan dengan "selalu gunakan TypeScript." Untuk contoh nyata yang sudah teruji, mulailah dengan agregasi komunitas Awesome Skills. agent-skills milik Vercel adalah referensi kuat lainnya.
Apa Itu AGENTS.md dan Bagaimana Bedanya dengan CLAUDE.md?
AGENTS.md adalah standar universal untuk panduan agen yang spesifik per proyek, dirilis oleh OpenAI dan disumbangkan ke Agentic AI Foundation milik Linux Foundation pada Desember 2025. CLAUDE.md adalah file panduan proyek milik Claude Code. Keduanya tumpang tindih dalam tujuan, tetapi keduanya bukan format yang identik di setiap alat. Intinya secara praktis adalah bahwa tim semakin bisa menulis instruksi agen sekali dan mengadaptasinya di berbagai alat seperti Codex, Cursor, Copilot, Gemini CLI, dan Claude Code.
Apakah File Skill Aman Digunakan?
Skill yang bersumber dari komunitas harus dibaca sebelum di-import. laporan ToxicSkills milik Snyk menemukan bahwa 36% skill komunitas yang dipindai memiliki setidaknya satu cacat keamanan, dan 13,4% memiliki cacat tingkat kritis, dengan prompt injection sebagai mekanisme serangan utama. OWASP Agentic Skills Top 10 adalah kerangka referensi untuk memahami permukaan serangan. File skill dari repositori resmi atau proyek open-source yang sudah mapan umumnya membawa risiko supply-chain yang lebih rendah daripada kontribusi komunitas anonim, tetapi tetap harus di-review sebelum di-import.
Apa Itu OWASP Agentic Skills Top 10 (AST10)?
Kerangka keamanan OWASP tahun 2026 untuk ekosistem skill, analog dengan OWASP Web Application Security Top 10 tetapi secara khusus menangani permukaan serangan yang diciptakan oleh file instruksi agen AI. Ia mencakup sepuluh risiko keamanan paling kritis di berbagai platform termasuk Claude Code, Cursor/Codex, dan VS Code. Kerangka ini dalam pengembangan aktif per 2026, dengan rilis v1.0 yang direncanakan pada Q4 2026.
Apakah Saya Membutuhkan File Skill Jika Saya Sedang Membangun Proyek Pribadi?
Hanya jika Anda menginginkan perilaku AI yang konsisten. Tanpa batasan, alat coding AI mengoptimalkan untuk penyelesaian tugas, bukan kualitas kode, yang berjalan baik sampai ia menghasilkan logika duplikat, penanganan error yang hilang, atau komponen UI yang tidak aksesibel. Overhead-nya rendah: satu file per proyek, dipelihara seiring Anda menemukan apa yang terus salah dilakukan AI. Aturan yang terinspirasi Karpathy adalah titik awal yang masuk akal; library skill komunitas memungkinkan Anda menarik aturan spesifik per domain (keamanan, aksesibilitas, idiom bahasa) tanpa menulisnya dari nol.
