ข้ามไปยังเนื้อหาหลัก
ลด 50% ทุกแพลน เวลาจำกัด เริ่มต้นที่ $2.48/mo
8 min left
AI และ Machine Learning

Vibe Coders กำลังสร้างชั้นกฎที่วิศวกรรมทิ้งไว้ขึ้นมาใหม่

S โดย Steve 8 นาทีในการอ่าน
A CLAUDE.md file open in a dark-mode code editor showing AI coding quality rules alongside a passing test suite, illustrating how vibe coders encode engineering discipline as agent instructions

ผู้ใช้ GitHub มากกว่า 178,000 คนกด star ไฟล์ markdown เพียงไฟล์เดียว ไฟล์นั้นแค่บอก AI ว่าจะทำตัวอย่างไร

สี่กฎ: คิดก่อนเขียนโค้ด ความเรียบง่ายมาก่อน เปลี่ยนแปลงอย่างแม่นยำ ลงมือทำโดยมีเป้าหมาย เท่านั้นเอง ไม่มีไลบรารี ไม่มีเฟรมเวิร์ก ไม่มีตัวติดตั้ง Forrest Chang นำข้อสังเกตของ Andrej Karpathy เกี่ยวกับรูปแบบความผิดพลาดของ LLM ในการเขียนโค้ดมาบรรจุเป็นไฟล์ CLAUDE.md เพียงไฟล์เดียว และชุมชนนักพัฒนาก็ดันมันทะลุ 178,000 GitHub star ในเดือนต่อๆ มา

ถ้าคุณเพ่งมองสิ่งที่เกิดขึ้นตรงนั้น มันดูคล้ายกับสิ่งที่ทุกองค์กรวิศวกรรมค้นพบในที่สุดว่าตัวเองต้องการ หลังจากเจ็บปวดมามากพอ: ชุดข้อจำกัดร่วมกันว่าโค้ดจะถูกเขียนอย่างไร ชั้นกฎ สิ่งที่เคยอยู่ในเช็กลิสต์การรีวิวโค้ด หรือ style guide หรือความทรงจำเชิงสถาบันของวิศวกรอาวุโส ชุมชน vibe coding พบเวอร์ชันที่เบากว่ามากของวินัยเดียวกันนั้น: เขียนกฎลงใน markdown และให้เอเจนต์อ่านมันก่อนที่จะเขียนโค้ด

นี่ไม่ใช่เรื่องที่เกิดขึ้นครั้งเดียว มันเป็นแพตเทิร์น

TL;DR (สรุปย่อ)

  • อีโคซิสเต็มคำสั่งเอเจนต์ (CLAUDE.md, AGENTS.md, ไลบรารี skill ที่ใช้ร่วมกัน และเอเจนต์การเข้าถึง) กำลังกลายเป็นชั้นบังคับใช้คุณภาพแบบกระจายสำหรับการเขียนโค้ดที่ใช้ AI ช่วย
  • ช่องว่างด้านคุณภาพที่มันตอบสนองต่อนั้นมีอยู่จริง: Snyk สแกน skill 3,984 ตัวจาก ClawHub และ skills.sh และพบว่า 1,467 ตัว หรือ 36.82% มีข้อบกพร่องด้านความปลอดภัยอย่างน้อยหนึ่งจุด; 534 ตัว หรือ 13.4% มีปัญหาระดับวิกฤตอย่างน้อยหนึ่งจุด
  • การตอบสนองของชุมชนคือการสร้างกฎเพิ่มขึ้น ไม่ใช่ทิ้งแนวทางนี้ และสถาบันต่างๆ ตั้งแต่ Vercel ไปจนถึง OWASP และ Linux Foundation ก็เข้ามาเกี่ยวข้องแล้วในตอนนี้

ช่องว่างด้านคุณภาพมีอยู่จริง และชุมชนก็รู้ดี

Bar chart contrasting the share of community AI agent skills with security flaws (36.82%) and critical-level flaws (13.4%) from Snyk's ToxicSkills scan of 3,984 skills

13.4% ของไฟล์ skill ในชุมชนมีข้อบกพร่องด้านความปลอดภัยระดับวิกฤต นั่นมาจาก รายงาน ToxicSkills ของ Snykเผยแพร่เมื่อเดือนกุมภาพันธ์ 2026 หลังจากสแกน skill 3,984 ตัวจาก ClawHub และ skills.sh 36.82% มีช่องโหว่ด้านความปลอดภัยอย่างน้อยหนึ่งจุด 76 ตัวเป็นอันตรายโดยตรง โดย 91% ของจำนวนนั้นใช้ prompt injection เป็นกลไกในการส่งมอบ

เรื่องราวคุณภาพโค้ด AI ในภาพกว้างก็คล้ายกัน ตามการวิเคราะห์ข้อมูลการรีวิวโค้ดของ CodeRabbit โค้ดที่ใช้ AI ช่วยเขียนมีปัญหาเฉลี่ย 10.83 จุดต่อ pull request เทียบกับ 6.45 จุดสำหรับโค้ดที่เขียนโดยมนุษย์ ราวๆ 1.7 เท่าของจำนวนปัญหา การศึกษาโค้ดประจำปีของ GitClear รายงานสิ่งที่เรียกว่า "การเติบโต 4 เท่า" ในการโคลนโค้ด: เพิ่มขึ้นจาก 8.3% เป็น 12.3% ของบรรทัดที่เปลี่ยนแปลงระหว่างปี 2021 ถึง 2024

นี่เป็นตัวเลขจากผู้ขาย ดังนั้นจงรับเอาความแม่นยำนี้ด้วยความสงสัยตามสมควร ถึงอย่างนั้นก็มีประโยชน์ในเชิงทิศทาง: การเขียนโค้ดที่ใช้ AI ช่วยกำลังสร้างแรงกดดันด้านคุณภาพมากพอที่นักพัฒนากำลังสร้างราวกั้นใหม่ๆ ขึ้นมารอบมัน

สิ่งที่สำคัญคือสิ่งที่ชุมชนทำกับข้อมูลนี้ การตอบสนองไม่ใช่ "ไฟล์ skill อันตราย หยุดใช้มันเถอะ" แต่เป็น: OWASP เปิดตัว Agentic Skills Top 10 (AST10) ซึ่งเทียบเท่ากับ Web Application Security Top 10 สำหรับอีโคซิสเต็ม skill กฎเพิ่มขึ้น โครงสร้างเพิ่มขึ้น กรอบความปลอดภัยที่เป็นทางการสำหรับอีโคซิสเต็มที่ไม่เป็นทางการ

นั่นคือการตอบสนองแบบวิศวกรรมแบบคลาสสิก แม้แต่จากชุมชนที่มักพยายามหลีกเลี่ยงกระบวนการที่หนักหน่วง

อีโคซิสเต็มที่ปรากฏขึ้น

Layered diagram of the AI coding rules ecosystem: a behavioral layer (CLAUDE.md), a community aggregation layer (Awesome Skills), a framework layer (Vercel agent-skills), and a standards layer (AGENTS.md)

ตลอดครึ่งแรกของปี 2026 สิ่งนี้เริ่มดูเป็นเหมือนอีโคซิสเต็มแบบหลายชั้นมากกว่าไฟล์ markdown ที่กระจัดกระจายอยู่ไม่กี่ไฟล์

เริ่มจากชั้นพฤติกรรม CLAUDE.md ที่ได้แรงบันดาลใจจาก Karpathy นำเวอร์ชันของ Forrest Chang ที่ตีความข้อสังเกตของ Andrej Karpathy เกี่ยวกับความผิดพลาดในการเขียนโค้ดของ LLM มาบรรจุเป็นไฟล์คำสั่งเดียว และตอนนี้มันอยู่ที่มากกว่า 178,000 GitHub star เป็นหนึ่งใน repository ที่ถูกกด star มากที่สุดในประวัติศาสตร์ GitHub สำหรับไฟล์ที่สร้างขึ้นรอบกฎง่ายๆ สี่ข้อ กฎเหล่านั้นคืออะไรนั้นน่าสนใจน้อยกว่าสิ่งที่มันเป็นตัวแทน: ความพยายามในการเข้ารหัสวิจารณญาณที่วิศวกรอาวุโสจะใช้ในระหว่างการรีวิวโค้ด

เหนือสิ่งนั้นมีชั้นการรวบรวมของชุมชน Antigravity Awesome Skills ทะลุ 1,595+ agentic skill รวบรวม playbook ที่นำกลับมาใช้ใหม่ได้สำหรับ Claude Code, Cursor, Codex CLI, Gemini CLI, Antigravity และผู้ช่วยเขียนโค้ด AI อื่นๆ มันทำหน้าที่เหมือนไลบรารีที่ใช้ร่วมกันซึ่งเคลื่อนไหวรวดเร็วสำหรับวงการนี้: สิ่งที่คณะกรรมการมาตรฐานอาจสร้างขึ้นหากมันทำงานผ่าน GitHub แทนที่จะเป็น PDF

จากนั้นเฟรมเวิร์กก็ปรากฏขึ้น Vercel ทำให้ vercel-labs/agent-skills เป็น repository ขององค์กรอย่างเป็นทางการ ตอนนี้อยู่ที่ 28,000 star เพียงแค่ React Best Practices skill อย่างเดียวก็มีกฎมากกว่า 40 ข้อในแปดหมวดที่เน้นด้านประสิทธิภาพ รวมถึง waterfall, ขนาด bundle, ประสิทธิภาพฝั่งเซิร์ฟเวอร์, การดึงข้อมูลฝั่งไคลเอนต์, การปรับ re-render ให้เหมาะสม, ประสิทธิภาพการ render และการปรับ JavaScript ระดับเล็ก เมื่อบริษัทที่เป็นเจ้าของแพลตฟอร์มที่คุณ deploy ส่งกฎคุณภาพอย่างเป็นทางการสำหรับเอเจนต์ AI ออกมา อีโคซิสเต็มก็ได้เลื่อนขั้นจากการทดลองของชุมชนไปเป็นโครงสร้างพื้นฐานสำหรับการใช้งานจริง

และที่ด้านบนสุด คือชั้นมาตรฐาน OpenAI บริจาคข้อกำหนด AGENTS.md ให้กับ Agentic AI Foundation (AAIF) ของ Linux Foundation ควบคู่กับ MCP (Anthropic) และ Goose (Block): ข้ามเครื่องมือ ข้ามเอเจนต์ อยู่ในเส้นทางมาตรฐาน ทิศทางคือมุ่งสู่การพกพาได้: AGENTS.md ให้พื้นที่ร่วมกันแก่ทีมสำหรับคำแนะนำเอเจนต์เฉพาะโปรเจกต์ แม้ว่าเครื่องมือแต่ละตัวอาจยังต่างกันในวิธีที่มันโหลดและใช้คำสั่งเหล่านั้น

ชิ้นส่วนเหล่านี้ไม่ได้ปรากฏขึ้นมาเป็นสแตกเดียวที่วางแผนจากศูนย์กลาง มันบรรจบกันเพราะความต้องการมีอยู่จริง

มิติที่ไม่มีใครพูดถึง

An accessibility agent flagging a modal that traps screen readers and missing ARIA roles in AI-generated UI code, with WCAG 2.2 AA checks listed alongside

ข้อมูลด้านความปลอดภัยและคุณภาพโค้ดได้รับการพูดถึง แต่มิติด้านการเข้าถึงแทบไม่เคยได้รับเลย

Community-Access/accessibility-agents เริ่มต้นเมื่อวันที่ 21 กุมภาพันธ์ 2026 ด้วยเอเจนต์หกตัว ณ เดือนมิถุนายน 2026: เอเจนต์เฉพาะทาง 79 ตัวในแปดทีม, skill การเข้าถึงที่นำกลับมาใช้ใหม่ได้ 18 ตัว, การมุ่งเป้าที่ WCAG 2.2 AA และการรองรับห้าแพลตฟอร์ม: Claude Code, GitHub Copilot, Gemini CLI, Codex CLI และ MCP Server ที่สามารถให้บริการไคลเอนต์ที่รองรับ MCP ได้

โปรเจกต์นี้คืออะไรในแง่ที่เข้าใจง่าย: ชุมชนนักพัฒนากลุ่มหนึ่งตัดสินใจว่าเครื่องมือเขียนโค้ด AI สร้างโค้ดที่เข้าถึงไม่ได้โดยค่าเริ่มต้น (พวกมันข้ามกฎ ARIA, เพิกเฉยต่อการนำทางด้วยคีย์บอร์ด, สร้าง modal ที่ดักจับโปรแกรมอ่านหน้าจอ) และสร้างเอเจนต์เฉพาะทาง 79 ตัวเพื่อบังคับใช้กฎที่ AI มักลืม

นั่นเป็นสิ่งที่น่าทึ่งที่เกิดขึ้น วิศวกรฝั่ง frontend ส่งมอบเรื่องการเข้าถึงได้ต่ำกว่าเป้ามาโดยตลอดในเชิงประวัติศาสตร์ มันเป็นสิ่งแรกที่ถูกตัดออกภายใต้แรงกดดันด้านเส้นตาย โปรเจกต์ accessibility-agents คือ vibe coder ที่เขียนกฎที่ไม่เช่นนั้นพวกเขาจะต้องอาศัยวิศวกรอาวุโสมาบังคับใช้ และทำมันอย่างเปิดเผย ฟรี ครอบคลุมห้าการผสานรวมที่รองรับ

ในความเห็นของผม โปรเจกต์นี้ละเอียดถี่ถ้วนผิดปกติสำหรับความพยายามด้านการเข้าถึงโดยอาสาสมัคร โดยเฉพาะเพราะมันเปลี่ยนการเข้าถึงจากเรื่องที่ค่อยมาทำตอน QA ในช่วงท้าย ให้กลายเป็นคำสั่งเอเจนต์ที่นำกลับมาใช้ใหม่ได้ซึ่งรันในระหว่างการสร้างโค้ด

ทำไมสิ่งนี้จึงเป็นสิ่งที่หลีกเลี่ยงไม่ได้

ข้อโต้แย้งที่ว่า "ไฟล์ skill ก็แค่ README สำหรับ AI" นั้นยุติธรรมหากคุณมองที่ไฟล์ใดไฟล์หนึ่ง มันหยุดเป็นจริงเมื่อคุณมองที่ OWASP เปิดตัวกรอบความปลอดภัยสำหรับอีโคซิสเต็ม, Vercel ส่งไลบรารีคุณภาพอย่างเป็นทางการ หรือโปรเจกต์การเข้าถึงโดยอาสาสมัครเติบโตขึ้นเป็นเอเจนต์เฉพาะทาง 79 ตัว

นี่คือสิ่งที่กำลังเกิดขึ้นจริง: การบังคับใช้คุณภาพไม่ได้หายไปเมื่อคุณเอากระบวนการออก มันปรากฏขึ้นมาใหม่ในรูปแบบที่ต่างออกไป เพราะการขาดคุณภาพสร้างความเจ็บปวดอย่างรวดเร็ว และคนที่ใกล้ชิดกับความเจ็บปวดนั้นที่สุดก็แก้ไขมันที่ต้นตอ

วินัยทางวิศวกรรมแบบดั้งเดิม (การรีวิวโค้ด, style guide, ด่าน QA, การกำกับดูแลสถาปัตยกรรม) มีอยู่เพื่อจับสิ่งที่นักพัฒนาแต่ละคนข้ามไปภายใต้แรงกดดันด้านเวลา มันได้ผลเมื่อคุณมีทีมและมีกระบวนการ vibe coder โดยการออกแบบแล้วมักไม่มีทั้งสองอย่าง ดังนั้นพวกเขาจึงเข้ารหัสการรีวิวล่วงหน้าไว้ในคำสั่งของเอเจนต์

CLAUDE.md คือการรีวิวโค้ดที่เข้ารหัสไว้ล่วงหน้า Awesome Skills คือ style guide แบบกระจาย AGENTS.md คือมาตรฐานการกำกับดูแล คำพูดเปลี่ยนไป แต่หน้าที่ไม่เปลี่ยน

สิ่งที่น่าสนใจไม่ใช่การที่ข้อจำกัดปรากฏขึ้นมาใหม่ นั่นเป็นสิ่งที่หลีกเลี่ยงไม่ได้ สิ่งที่น่าสนใจคือมันปรากฏขึ้นมาใหม่เร็วกว่าครั้งแรก และเปิดเผยกว่า และในระดับคุณภาพที่ทำให้องค์กรวิศวกรรมบางแห่งที่มีกระบวนการเป็นผู้ใหญ่แล้วต้องอับอาย

ชุมชน vibe coding ไม่ได้สร้างวินัยทางวิศวกรรมขึ้นมาใหม่อย่างไม่เต็มใจภายใต้แรงกดดันจากฝ่ายบริหาร พวกเขาสร้างมันขึ้นมาเพราะพวกเขาชนกำแพง และเครื่องมือที่จะแก้ไขมันอยู่ห่างออกไปเพียงไฟล์ markdown ไฟล์เดียว

คำถามที่พบบ่อย

อะไรบ้างที่ใส่ลงในไฟล์ CLAUDE.md?

ข้อจำกัดด้านพฤติกรรมสำหรับ AI: สิ่งที่ต้องหลีกเลี่ยง, สิ่งที่ต้องให้ความสำคัญ, กฎด้านสถาปัตยกรรม, สัญญาณเตือนด้านความปลอดภัย และข้อตกลงเฉพาะโปรเจกต์ การใช้งานที่เน้นคุณภาพนั้นไปไกลกว่าทางลัดในเวิร์กโฟลว์: กฎอย่าง "ห้ามเอาการจัดการ error ออกเพื่อให้ test ผ่าน" อยู่เคียงข้างกับ "ใช้ TypeScript เสมอ" สำหรับตัวอย่างจริงที่ผ่านการทดสอบแล้ว เริ่มที่ การรวบรวมของชุมชน Awesome Skills. agent-skills ของ Vercel เป็นอีกหนึ่งแหล่งอ้างอิงที่ดี

AGENTS.md คืออะไร และต่างจาก CLAUDE.md อย่างไร?

AGENTS.md คือมาตรฐานสากลสำหรับคำแนะนำเอเจนต์เฉพาะโปรเจกต์ ปล่อยออกมาโดย OpenAI และบริจาคให้กับ Agentic AI Foundation ของ Linux Foundation ในเดือนธันวาคม 2025 CLAUDE.md คือไฟล์คำแนะนำโปรเจกต์ของ Claude Code ทั้งคู่มีจุดประสงค์ทับซ้อนกัน แต่ไม่ใช่รูปแบบที่เหมือนกันในทุกเครื่องมือ ข้อสรุปในทางปฏิบัติคือทีมสามารถเขียนคำสั่งเอเจนต์ครั้งเดียวและปรับใช้ข้ามเครื่องมือต่างๆ เช่น Codex, Cursor, Copilot, Gemini CLI และ Claude Code ได้มากขึ้นเรื่อยๆ

ไฟล์ Skill ปลอดภัยที่จะใช้ไหม?

skill ที่มาจากชุมชนควรอ่านก่อนนำเข้า รายงาน ToxicSkills ของ Snyk พบว่า 36% ของ skill ในชุมชนที่ถูกสแกนมีข้อบกพร่องด้านความปลอดภัยอย่างน้อยหนึ่งจุด และ 13.4% มีข้อบกพร่องระดับวิกฤต โดยมี prompt injection เป็นกลไกการโจมตีหลัก OWASP Agentic Skills Top 10 คือกรอบอ้างอิงสำหรับการเข้าใจพื้นผิวการโจมตี ไฟล์ skill จาก repository ทางการหรือโปรเจกต์โอเพนซอร์สที่มีชื่อเสียงโดยทั่วไปมีความเสี่ยงด้าน supply-chain ต่ำกว่าการบริจาคจากชุมชนแบบไม่ระบุตัวตน แต่ก็ยังควรได้รับการตรวจสอบก่อนนำเข้าอยู่ดี

OWASP Agentic Skills Top 10 (AST10) คืออะไร?

กรอบความปลอดภัยปี 2026 ของ OWASP สำหรับอีโคซิสเต็ม skill เปรียบได้กับ OWASP Web Application Security Top 10 แต่จัดการกับพื้นผิวการโจมตีที่เกิดจากไฟล์คำสั่งเอเจนต์ AI โดยเฉพาะ มันครอบคลุมความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดสิบอันดับแรกข้ามแพลตฟอร์ม รวมถึง Claude Code, Cursor/Codex และ VS Code กรอบนี้อยู่ระหว่างการพัฒนาอย่างต่อเนื่อง ณ ปี 2026 โดยมีกำหนดปล่อยเวอร์ชัน v1.0 ในไตรมาส 4 ปี 2026

ฉันจำเป็นต้องมีไฟล์ Skill ไหมถ้าฉันกำลังสร้างโปรเจกต์ส่วนตัว?

เฉพาะเมื่อคุณต้องการพฤติกรรม AI ที่สม่ำเสมอ เมื่อไม่มีข้อจำกัด เครื่องมือเขียนโค้ด AI จะปรับให้เหมาะกับการทำงานให้เสร็จ ไม่ใช่คุณภาพโค้ด ซึ่งใช้งานได้ดีจนกระทั่งมันสร้างตรรกะที่ซ้ำซ้อน, การจัดการ error ที่ขาดหายไป หรือองค์ประกอบ UI ที่เข้าถึงไม่ได้ ภาระมีน้อย: หนึ่งไฟล์ต่อโปรเจกต์ ดูแลรักษาไปตามที่คุณค้นพบว่า AI มักทำอะไรผิดพลาด กฎที่ได้แรงบันดาลใจจาก Karpathy เป็นจุดเริ่มต้นที่สมเหตุสมผล; ไลบรารี skill ของชุมชนช่วยให้คุณดึงกฎเฉพาะโดเมน (ความปลอดภัย, การเข้าถึง, สำนวนเฉพาะภาษา) เข้ามาได้โดยไม่ต้องเขียนขึ้นมาตั้งแต่ต้น

แชร์

บทความเพิ่มเติมจากบล็อก

อ่านต่อ

Diagram showing Odysseus as the AI workspace layer calling Ollama as the inference engine underneath
AI และ Machine Learning

Odysseus vs Ollama อะไรที่ต่างกันจริงๆ (และทำไมคุณต้องใช้ทั้งคู่)

Odysseus และ Ollama ไม่ใช่คู่แข่งกัน ตัวหนึ่งคือพื้นที่ทำงาน AI ของคุณ อีกตัวหนึ่งรันโมเดล นี่คือวิธีที่ทั้งคู่ประกอบเข้ากันและวิธี self-host ทั้งสองตัว

Bill 11 นาทีในการอ่าน
Self-hosting an LLM versus using an API: a fixed monthly GPU bill against per-token API metering, the fixed-versus-variable cost trade-off
AI และ Machine Learning

การ self-host LLM แบบ open-weight vs API การคำนวณต้นทุนจริง

การ self-host LLM แบบ open-weight บน GPU VPS เอาชนะ API ได้เฉพาะเหนือจุดคุ้มทุนที่ solo builder ส่วนใหญ่ไม่มีวันถึง การคำนวณต้นทุนปี 2026 แยกตามโมเดล + การใช้งาน

Bill 18 นาทีในการอ่าน
A browser-based VS Code IDE with a Claude Code terminal panel running on a VPS, viewed on a tablet
AI และ Machine Learning

วิธีรัน Code Server และ Claude Code บน VPS: สภาพแวดล้อมพัฒนา AI บนเบราว์เซอร์

ตั้งค่า Code Server และ Claude Code บน Linux VPS เครื่องเดียวเพื่อสภาพแวดล้อมพัฒนาที่ช่วยด้วย AI บนเบราว์เซอร์ การกำหนดขนาด การติดตั้ง การยืนยันตัวตนแบบไม่มีจอ และ HTTPS ในขั้นตอนท

Haze 16 นาทีในการอ่าน

พร้อมติดตั้งหรือยัง? เริ่มต้น $2.48/เดือน

คลาวด์อิสระ ตั้งแต่ปี 2008 AMD EPYC, NVMe, 40 Gbps คืนเงินภายใน 14 วัน