1. 项目概述：AI技能生态的“包管理器”

如果你和我一样，在日常开发中同时使用多个AI编程助手，比如Claude Code、GitHub Copilot、Cursor，那你一定遇到过这个痛点：每个工具都有自己的一套“技能”或“插件”系统，安装、管理和同步它们的过程繁琐且割裂。今天要聊的 skillpm ，就是为了解决这个问题而生的。你可以把它理解为AI技能生态的“包管理器”，就像npm之于JavaScript，pip之于Python。它的核心目标就一句话： 一次安装，随处注入 。

简单来说，skillpm让你可以用一套统一的命令行工具，去管理所有主流AI编程助手（官方称之为“Agent”）的技能。无论是从Git仓库直接安装，还是从官方源搜索，它都能帮你处理好依赖、版本和注入路径。最让我觉得省心的是它的“原子化安装”和“回滚安全同步”机制，这意味着你再也不用担心因为装错一个技能而把整个开发环境搞崩。它完全开源，用Go语言编写，不需要任何中心化的控制平面，所有操作都在本地完成，对注重隐私和安全的开发者非常友好。

2. 核心设计思路：为何需要统一的技能管理器？

2.1 当前AI技能生态的碎片化困境

在skillpm出现之前，AI技能的生态是高度碎片化的。以我自己的体验为例：

• Claude Code ：技能文件通常放在 ~/.claude/skills/ 目录下，可能需要手动下载或通过其（可能存在的）内置市场安装。
• GitHub Copilot ：有自己的一套技能规范，可能通过VS Code扩展或Copilot CLI管理，路径又是另一套。
• Cursor ：虽然底层可能基于类似模型，但其技能系统的实现和安装方式又是独立的。

这就导致了几个问题：

1. 管理成本高 ：我需要记住每个工具的安装命令、配置路径和更新方式。
2. 技能复用难 ：为一个工具写的优秀提示词或工作流，很难一键迁移到另一个工具上使用。
3. 版本控制混乱 ：不同项目可能需要不同版本的技能组合，手动管理 .gitignore 和路径非常容易出错。
4. 安全风险 ：从各处下载未经校验的技能文件，可能存在恶意代码或提示词注入风险。

skillpm的设计正是瞄准了这些痛点。它抽象出了一个 统一的技能包规范 ，并为每个支持的AI Agent提供了 适配器（Adapter） 。这个适配器负责两件事：一是将skillpm管理的技能包，转换成目标Agent能识别的格式；二是将转换后的文件，注入到正确的系统路径中。

2.2 skillpm的架构哲学：本地优先与无状态同步

skillpm的架构有几个关键设计原则，理解了这些，你就能明白它为什么好用：

1. 无中心化控制平面 ：skillpm不强制要求连接到一个中心服务器。你可以添加任何Git仓库作为技能源。官方维护了一个叫“ClawHub”的社区源，但你也可以用自己或团队的私有Git仓库。所有操作（安装、查询、注入）都在本地完成，数据自主权完全在你手上。

2. 原子操作与事务性 ：这是它的核心优势。 skillpm install 或 skillpm sync 并不是简单地把文件复制过去。它会先在一个临时区域（Staging Area）完成所有文件的准备、格式转换和依赖解析，形成一个完整的“事务”。只有当所有步骤都成功后，它才会通过一个原子操作（通常是文件系统的移动或替换）将新状态提交到目标目录。如果中途任何一步失败，整个操作会回滚，你的技能目录会保持原样。这彻底避免了“安装一半”的脏状态。

3. 基于清单（Manifest）的声明式管理 ：skillpm鼓励使用项目级的 skillpm.toml 文件。在这个文件里，你可以声明本项目依赖哪些技能及其版本。这类似于 package.json 或 requirements.txt 。团队协作时，只需要把这个文件加入版本控制，任何成员运行 skillpm install 就能获得完全一致的技能环境，极大地保证了开发环境的一致性。

4. 松耦合的适配器模型 ：对每个AI Agent的支持是通过适配器实现的。skillpm维护了一个“支持矩阵”，将Agent分为“已验证（Verified）”和“尽力支持（Best-effort）”两类。已验证的适配器经过了充分测试，能保证注入的稳定性和格式兼容性。尽力支持的适配器则可能因为目标Agent的API或文件格式频繁变动而需要手动调整。这种设计使得skillpm能够快速跟进生态变化，而不必等待所有Agent官方支持。

3. 从零开始：安装与基础配置实战

3.1 多种安装方式详解

skillpm提供了几种安装方式，适应不同平台和用户习惯。

首选方案：Homebrew (macOS/Linux) 对于macOS和Linux用户，Homebrew是最方便的选择。命令非常直观：

brew tap eddieran/tap
brew install skillpm

这里 brew tap 命令是将第三方仓库 eddieran/tap 添加到你的Homebrew源列表中，之后就可以像安装官方软件一样安装skillpm了。安装完成后，在终端输入 skillpm --version 验证是否成功。

从源码构建 (适合开发者或特定平台) 如果你需要最新的开发版，或者你的系统架构比较特殊（比如某些ARM Linux发行版），从源码构建是更好的选择。前提是你需要安装好Go语言环境（Go 1.19+）。

git clone https://github.com/eddieran/skillpm.git
cd skillpm
make build

构建完成后，会在 ./bin/ 目录下生成 skillpm 可执行文件。你可以把它移动到系统路径下，比如 /usr/local/bin/ ：

sudo cp ./bin/skillpm /usr/local/bin/

或者直接使用 ./bin/skillpm --help 来运行。

注意 ：从源码构建时，请确保你的Go模块代理（GOPROXY）设置正确，特别是在网络环境复杂的地区，否则可能会因为拉取依赖超时而失败。可以尝试设置 export GOPROXY=https://goproxy.cn,direct 来加速。

3.2 初始化与首次技能源配置

安装完成后，我建议先不做任何安装操作，而是进行初始化配置，了解你的环境。

运行环境诊断 首先，运行 skillpm doctor 。这个命令是skillpm的“自愈医生”，它会自动检查以下项目：

1. 二进制文件是否在PATH中。
2. 必要的目录（如缓存目录、配置目录）是否存在且有读写权限。
3. 系统中检测到了哪些AI Agent（通过查找特定的配置文件或目录）。
4. 当前已安装的技能列表是否与磁盘状态一致。 如果发现问题，它会给出修复建议，甚至在某些情况下可以自动修复。首次运行时，它可能会提示你创建 ~/.config/skillpm/ 目录。

添加第一个技能源 skillpm本身不“拥有”技能，它从你配置的“源（Source）”中获取技能。最常用的源是官方的ClawHub社区源。添加源的命令是：

skillpm source add clawhub https://github.com/clawhub/skills.git --kind git

• clawhub 是你给这个源起的别名，方便后续引用。
• https://github.com/clawhub/skills.git 是Git仓库地址。
• --kind git 指定源类型为Git仓库（目前主要支持Git）。

添加后，你需要更新本地缓存，以获取源中的技能列表：

skillpm source update clawhub

这个过程类似于 git fetch ，会把远程仓库的技能元数据拉到本地。现在，你就可以搜索这个源里的技能了。

4. 核心工作流：技能的搜索、安装与管理

4.1 搜索与发现技能

有了技能源，下一步就是找到你需要的技能。 skillpm search 命令支持关键字搜索和过滤。

基础搜索

# 在所有已添加的源中搜索包含“code-review”关键字的技能
skillpm search "code-review"

# 在特定的源（如clawhub）中搜索
skillpm search --source clawhub "test"

搜索结果是列表形式，会显示技能名、简短描述、来源和版本。

高级过滤与格式化输出 如果你需要更精确的查找，或者想把结果用于脚本处理，可以使用更多参数：

# 以JSON格式输出，便于用jq等工具解析
skillpm search "audit" --json | jq '.[] | {name, description}'

# 只显示来自特定作者的技能（如果源提供了作者信息）
# 这通常需要查看具体技能源的元数据格式

搜索到的技能标识符通常是 源别名/技能名 的格式，例如 clawhub/code-reviewer 。

4.2 技能的安装、注入与卸载

安装技能 找到技能后，安装非常简单：

skillpm install clawhub/code-reviewer

这个命令会：

1. 从 clawhub 源解析 code-reviewer 技能的最新版本（或你指定的版本）。
2. 下载技能包（通常是一个包含 skill.toml 配置、提示词模板、可能还有脚本的压缩包）。
3. 验证包的完整性和签名（如果源支持）。
4. 解析技能依赖（一个技能可能依赖另一个技能）。
5. 将技能包解压到skillpm的本地仓库目录（例如 ~/.local/share/skillpm/packages/ ）。

重要提示 ：此时技能 并没有 被激活！它只是被“下载”到了skillpm的管理目录中。这是skillpm设计的一个关键点：安装和注入是分离的。

将技能注入到AI Agent 要让AI Agent使用技能，必须执行“注入”（Inject）。注入操作会把技能从skillpm的仓库，转换成目标Agent能识别的格式，并复制到Agent的指定技能目录。

# 注入到特定的Agent，比如Claude Code
skillpm inject --agent claude

# 一次性注入到所有当前系统已检测到的Agent
skillpm inject --all

--agent 参数的值来自skillpm的支持矩阵，比如 claude , copilot , cursor 等。运行 skillpm inject --all 是最省事的方式，skillpm会自动检测你电脑上安装了哪些Agent，并只向它们注入兼容的技能。

卸载技能 卸载同样遵循两阶段原则：

# 从skillpm的本地仓库中移除该技能包
skillpm uninstall clawhub/code-reviewer

# 卸载后，需要再次运行注入，以从各个Agent中移除该技能的文件
skillpm inject --all

只运行 uninstall 而不运行 inject ，会导致技能包被删除，但残留在Agent目录中的文件依然存在，可能引起错误。 skillpm inject 在运行时，会计算当前仓库状态与目标目录的差异，并同步这种差异，因此它既负责安装也负责卸载。

4.3 实战：安装一个代码审查技能

让我们以一个具体的例子串联整个流程。假设我们想为Claude Code和GitHub Copilot安装一个代码审查技能。

1. 确保源已添加并更新 （如果之前没做）：

   skillpm source add clawhub https://github.com/clawhub/skills.git --kind git
   skillpm source update clawhub
   

2. 搜索代码审查相关技能 ：

   skillpm search --source clawhub "review"
   

   假设我们找到了一个名为 clawhub/code-reviewer 的技能。

3. 安装技能 ：

   skillpm install clawhub/code-reviewer
   

   安装成功后，可以用 skillpm list 查看本地已安装的所有技能。

4. 注入到AI Agent ：

   # 如果你只想给Claude Code用
   skillpm inject --agent claude
   # 或者给所有检测到的Agent用
   skillpm inject --all
   

5. 验证 ：打开你的Claude Code或VS Code（使用Copilot），在合适的界面（通常是聊天框或命令面板）中，你应该能看到新增加的“Code Reviewer”技能或类似的触发指令。

实操心得 ：在团队中，我强烈建议将 skillpm inject --all 加入到你的Shell配置文件（如 .zshrc 或 .bashrc ）的末尾，或者作为一个独立的脚本在终端启动时运行。这样可以确保每次打开新的终端会话时，你的AI工具技能都是最新的，与本地skillpm仓库同步。这避免了“为什么我这个技能没生效？”的常见问题。

5. 高级特性：项目级技能管理与安全同步

5.1 使用项目清单（skillpm.toml）管理团队技能

对于团队项目，保证每个成员使用完全相同的AI技能组合至关重要。skillpm通过项目级的 skillpm.toml 文件来实现这一点，这类似于Node.js的 package.json 。

初始化项目清单 在你的项目根目录下运行：

skillpm init

这个命令会创建一个基本的 skillpm.toml 文件，内容可能如下：

[project]
name = "my-web-app"
version = "0.1.0"

[[skills]]
source = "clawhub"
name = "code-reviewer"
version = "1.2.0" # 可以指定版本，或使用 "*" 表示最新

[[skills]]
source = "clawhub"
name = "dependency-auditor"
# 不指定version，默认为最新版本

你可以手动编辑这个文件，添加或删除技能依赖。

安装项目依赖 当你的同事克隆了项目仓库后，他只需要在项目根目录下运行：

skillpm install

skillpm会读取当前目录下的 skillpm.toml 文件，自动安装里面声明的所有技能及其指定版本，然后他再运行 skillpm inject --all 即可。这确保了团队间技能环境100%一致。

技能包（Bundle）功能 对于更复杂的场景，你可能有一组固定的技能总是被一起使用（例如，前端开发套件、数据科学套件）。skillpm提供了“包（Bundle）”的概念来管理这种分组。

# 创建一个名为“web-dev”的包，包含react和typescript两个技能
skillpm bundle create web-dev clawhub/react clawhub/typescript

# 在任何一个项目中，可以一键安装整个包
skillpm bundle install web-dev

包的定义是全局的（存储在用户配置中），但安装行为可以发生在任何项目目录。 skillpm bundle install 实际上是把包里的技能列表，动态地加入到当前项目的依赖中，然后执行安装。

5.2 安全同步与变更预演

skillpm sync 是另一个强大的核心命令，它结合了安装、卸载和注入，但以更安全、更可控的方式进行。

干运行（Dry Run） 在真正执行任何可能破坏现有环境的操作前，一定要先进行干运行。它会分析当前状态（项目清单、已安装技能、源的最新版本）与期望状态的差异，并给出一个详细的变更计划。

skillpm sync --dry-run

输出会告诉你：将要安装哪些新技能，升级哪些已有技能，降级或卸载哪些技能。这让你对即将发生的变化一目了然。

以JSON格式输出计划 对于自动化脚本或CI/CD流水线，JSON格式的输出更易解析：

skillpm sync --dry-run --json > sync-plan.json

你可以编写脚本分析这个JSON文件，例如，如果发现有大版本升级或关键技能被移除，可以要求人工确认。

严格模式（Strict Mode）与执行同步 当你确认变更计划没问题后，可以执行同步。 --strict 标志非常有用，它会在遇到任何错误（如下载失败、校验和不匹配、依赖冲突）时立即停止，并尝试回滚到同步前的状态。

# 先进行严格的干运行检查
skillpm sync --dry-run --strict

# 检查无误后，执行同步
skillpm sync --strict

--strict 模式是生产环境或团队共享环境中的推荐做法，它能最大程度保证环境稳定性。

5.3 技能创建与发布入门

除了消费技能，你还可以创建和分享自己的技能。

从模板创建新技能 skillpm提供了创建技能项目的脚手架。

skillpm create my-awesome-skill --template prompt

--template prompt 表示创建一个以提示词工程为主的技能模板。生成的目录结构通常包含：

• skill.toml : 技能的核心配置文件，定义名称、版本、描述、兼容的Agent、依赖等。
• prompt.md : 主要的提示词模板。
• README.md : 技能说明文档。
• icon.png : 技能图标（可选）。

技能配置详解 skill.toml 是关键，一个简单的例子如下：

[skill]
name = "my-awesome-skill"
version = "0.1.0"
description = "一个帮我生成优质Commit Message的技能"
authors = ["Your Name <your.email@example.com>"]

# 指定这个技能兼容哪些Agent
[compatibility]
claude = ">=1.0"
copilot = "*"
cursor = ">=0.5.0"

# 定义技能如何被触发
[[triggers]]
type = "command"
command = "generate-commit"
description = "根据代码变更生成约定式提交信息"

# 技能的依赖
[dependencies]
# 可以依赖其他技能
"clawhub/git-conventional" = "1.0.0"

你需要根据模板编写 prompt.md ，设计好触发逻辑，然后进行测试。

测试与本地安装 你可以在本地开发和测试你的技能：

# 在技能项目目录下，使用本地路径安装
skillpm install ./path/to/my-awesome-skill

# 然后注入到Agent进行测试
skillpm inject --agent claude

发布到技能源 测试完成后，你可以将技能发布到ClawHub或你自己的Git源。以ClawHub为例（假设你已拥有权限）：

1. 将技能代码推送到一个Git仓库。
2. 在技能项目根目录下，使用skillpm发布：

   skillpm publish . --version 1.0.0
   

   这个命令会打包你的技能，并根据配置（可能是全局配置或环境变量）推送到指定的注册中心。发布后，其他人就可以通过 skillpm source add 添加你的源，并安装你的技能了。

6. 故障排查与最佳实践

6.1 常见问题与解决方案

在实际使用中，你可能会遇到以下问题。这里是我的排查清单：

问题现象	可能原因	解决方案
skillpm inject 后技能在Agent中不显示	1. Agent未运行或需要重启。 2. 技能与当前Agent版本不兼容。 3. 注入路径错误或权限不足。	1. 重启你的AI Agent应用（如VS Code、Cursor）。 2. 运行 skillpm doctor 检查Agent检测状态和兼容性警告。 3. 检查 ~/.config/skillpm/config.toml 中对应Agent的 injection_path 是否正确。
skillpm install 失败，报网络或Git错误	1. 网络连接问题。 2. Git仓库地址错误或无权访问。 3. 技能源仓库的格式不符合skillpm预期。	1. 检查网络，尝试使用 --verbose 标志查看详细错误。 2. 确认 skillpm source list 中的仓库地址正确，对于私有仓库，确保已配置好Git认证（如SSH密钥）。 3. 技能源仓库根目录需要有正确的索引文件（如 index.toml ），请咨询源维护者。
skillpm sync --strict 因依赖冲突失败	两个或多个技能依赖了同一个技能的不同且不兼容的版本。	1. 查看错误信息，确认冲突的技能名和版本。 2. 尝试手动安装一个能兼容的版本，或在项目 skillpm.toml 中显式指定一个兼容的版本覆盖传递依赖。
skillpm doctor 报告“技能文件损坏”	技能文件在磁盘上被意外修改或删除，与skillpm的内部数据库记录不一致。	运行 skillpm doctor --fix ，尝试让skillpm自动修复（例如重新下载损坏的包）。如果不行，尝试 skillpm uninstall <skill-name> 然后重新安装。
安装技能后，AI Agent行为异常或报错	1. 技能本身有bug或提示词设计有问题。 2. 技能与你的AI Agent模型版本不匹配。	1. 到该技能的源仓库（如GitHub）查看Issues，确认是否是已知问题。 2. 尝试回滚到技能的旧版本： skillpm install <skill-name> --version <old-version> 。 3. 最直接的方法：卸载该技能，看问题是否消失。

6.2 安全使用建议

1. 谨慎添加未知源 ：只添加你信任的源。虽然skillpm本身会进行一些基础的安全扫描（如检查已知的恶意模式），但源头安全是根本。优先使用官方维护的ClawHub或知名组织的源。
2. 审查技能内容 ：对于来自非官方源的技能，尤其是要求执行脚本（ script 类型）的技能，在安装前最好查看其源码。检查 skill.toml 和附带的脚本文件，确认没有可疑操作。
3. 利用 --dry-run ：在任何可能改变环境的操作（尤其是 sync ）前，养成使用 --dry-run 预览变更的习惯。
4. 版本锁定 ：在团队项目的 skillpm.toml 中，尽量锁定技能的具体版本号，而不是使用通配符 * 。这可以避免因依赖的自动升级而引入意外变更，保证构建的一致性。
5. 定期运行 skillpm doctor ：将其作为日常维护的一部分，可以及早发现环境问题。

6.3 集成到CI/CD流水线

对于严肃的工程团队，可以将skillpm集成到CI/CD中，确保自动化环境（如测试服务器、构建服务器）也具备正确的AI技能。

一个简单的GitHub Actions工作流步骤可能如下：

- name: Setup AI Skills
  run: |
    # 安装skillpm (假设已通过其他方式安装，或使用容器镜像)
    skillpm source add company-skills https://github.com/my-company/ai-skills.git --kind git
    skillpm source update company-skills
    skillpm install
    skillpm inject --all
  env:
    # 如果使用私有技能源，可能需要配置Git token
    SKILLPM_GIT_TOKEN: ${{ secrets.COMPANY_GIT_TOKEN }}

关键点在于，CI环境中也需要安装目标AI Agent（或其CLI版本），并且 skillpm inject 的路径需要可访问。通常，这需要基于一个预装了这些工具的定制化Docker镜像来实现。

skillpm解决了一个AI工具快速增长时代非常实际的问题：管理混乱。它用工程化的思路，将包管理的成熟理念引入了AI技能领域。从我几个月的使用体验来看，它极大地减少了我在不同AI助手间切换和配置的成本，让“让AI助手更懂我”这件事变得可重复、可协作、可维护。如果你也在使用多个AI编程工具，并且厌倦了重复的配置工作，那么skillpm绝对值得你花半小时尝试一下。它的学习曲线平缓，而带来的效率提升是立竿见影的。