# Hermes Skill 系统与生态：从开放标准到自我进化的能力市场

## 概述

Skill 系统是 Hermes Agent 生态的核心扩展机制。围绕 agentskills.io 开放标准，社区已构建出覆盖网络安全（754 skills）、DevOps（123 skills）、商业方法论（48+ skills）、Web3/DeFi、气象科学、个人生活管理等垂直领域的丰富生态。更关键的是，Hermes 不仅消费 skill，还能 **自动创建、验证、优化和分发 skill**——Skill Factory 检测工作流模式自动生成 skill，Skill Distillation 从真实任务提取训练数据，Dojo 从 session log 驱动改进，HermesHub/SkillDock 负责安全验证和商业化分发。本文全面剖析这个从创建到分发、从手动到自动的 skill 生命周期体系，并为技术管理者提供生态参与策略建议。

## agentskills.io 开放标准与 MCP 协议：互补而非竞争

agentskills.io 是由 Anthropic 原创开发并开源的标准格式 [01-core/07-agentskills-io]，核心设计极为简洁：**skill = 文件夹（含 SKILL.md 指令文件 + 脚本 + 资源）**。SKILL.md 声明式地描述 capability、trigger condition 和 execution procedure。目前已被 Claude Code、Cursor、GitHub Copilot、VS Code、Gemini CLI、OpenAI Codex、JetBrains Junie、Roo Code 等 30+ 主流 agent 产品采纳。

agentskills.io 与 MCP（Model Context Protocol）的关系是 **互补而非竞争**：

| 维度 | agentskills.io | MCP |
|------|---------------|-----|
| **抽象层级** | 任务级（"如何做某件事"） | 工具级（"提供什么能力"） |
| **载体** | 文件夹 + Markdown | Server + JSON-RPC |
| **运行时依赖** | 无（文件即配置） | 需要 MCP server 进程 |
| **版本控制** | Git 原生支持 | 需要额外机制 |
| **Token 效率** | Progressive disclosure（~30 tokens 扫描） | 一次性加载 schema |

Agentic-MCP-Skill [19-agentic-mcp-skill] 的概念验证表明，将 agentskills.io 的 progressive disclosure 模式应用于 MCP server 管理，可实现 86% 的 token 节省。这验证了两个标准的融合潜力——**用 agentskills.io 的发现和加载模式优化 MCP 的 token 消耗**。

Hermes Agent 同时兼容两个标准：agentskills.io 管理高层任务 skill，MCP server 提供底层工具能力，v0.8 更引入了 MCP OAuth 2.1 PKCE 安全认证 [01-core/08-release-notes]。

## Skill 生命周期：从创建到演化的完整链路

### 阶段一：创建（Creation）

Skill 创建有四种路径，从手动到全自动递进：

**手动编写**：开发者直接编写 SKILL.md + 支持脚本。BMAD Skill Forge [18-bmad-module-skill-forge] 优化了这一路径——从源码和文档中提取 **source-linked instructions**，每条指令追溯到具体代码文件和行号，解决了"AI 编造不存在的函数名"这一高频痛点。Dual-output 格式同时产出完整 skill file 和 compact context snippet（80-120 tokens，always-on 注入成本极低）。

**工作流模式检测（Skill Factory）** [02-hermes-skill-factory]：这个 "meta-skill"（创造 skill 的 skill）在后台监控用户会话，自动检测重复工作流模式。检测到模式后弹出交互提案，用户可选择生成 SKILL.md（AI 可读指令）+ plugin.py（CLI 命令）双输出。支持自然语言触发，如 "save this as a skill"。

**自主端到端生成（Skill Marketplace/Forge）** [09-hermes-skill-marketplace]：完全自动化的 pipeline——观察任务 → 识别模式 → 编写 skill → Python sandbox 测试（happy path/edge case/error scenario 三层）→ 质量分 ≥ 0.8 时自动发布。Memory deduplication 防止重复创建。

**Incident-driven 自动生成**：Hermes Incident Commander [07-hermes-incident-commander] 在每次新型 incident 解决后自动生成 prevention playbook，存储为 `~/.hermes/skills/`。这种 "从经验中学习" 的模式是 procedural memory 的典型应用。

### 阶段二：验证与质量保证（Validation）

Skill 质量控制涉及多个层面：

- **Sandbox 测试**：Skill Marketplace 的三层测试（happy path、edge case、error scenario）+ 质量分阈值（≥ 0.8）[09-hermes-skill-marketplace]
- **Source Verification**：BMAD Skill Forge 的 provenance map + metadata 验证 + falsifiable output [18-bmad-module-skill-forge]
- **安全扫描**：HermesHub 的 65+ threat rules 覆盖 8 个安全类别，自动阻止 critical findings，管理员也无法覆盖 [30-hermeshub-skilldock]
- **框架合规**：Pydantic AI Skills [14-pydantic-ai-skills] 提供 type-safe 的验证，metadata 约束（name 限 lowercase/digits/hyphens，max 64 chars）

### 阶段三：分发与发现（Distribution）

Skill 分发形成了三层网络：

- **标准层**：agentskills.io 作为格式基础，确保跨 30+ agent 产品的互操作性
- **Marketplace 层**：HermesHub（安全优先，65+ threat rules，22 个验证 skill）、SkillDock（OpenAPI-driven，USD + TON 双轨支付）、Wondel.ai marketplace（200+ 社区 skill）[30-hermeshub-skilldock, 10-wondelai-skills]
- **直接安装**：Git clone 或 CLI 安装（skills.sh）

SkillDock 的 recursive dependency resolution 和 namespace management 为大规模 skill 生态奠定了基础设施。HermesHub 的 creator economy 模型（创作者保留 95% 收入，支持加密钱包 + Stripe micropayments）和 agent-to-agent feedback protocol（带 trust score）展现了 skill 经济的雏形。

### 阶段四：演化（Evolution）

Skill 部署后的持续改进有两条路径：

- **GEPA 进化优化** [01-core/04-hermes-self-evolution]：读取 execution trace → 分析失败根因 → targeted mutation → 四重安全约束验证。成本 $2-10/cycle。
- **Dojo 监控驱动** [08-hermes-dojo]：从 session log 提取 tool errors 和 retry loops → 计算 per-skill success metrics → 自动修复低性能 skill。支持 overnight autonomous improvement。

两者的互补关系：**Dojo 发现哪些 skill 需要改进，GEPA 深度优化 skill 实现**。

## Skill Factory 与 Skill Distillation：自动化生成的两种范式

Skill Factory [02-hermes-skill-factory] 和 Skill Distillation [07-forks-guides/04-hermes-skill-distillation] 代表了自动化 skill 生成的两种不同范式：

| 维度 | Skill Factory | Skill Distillation |
|------|--------------|-------------------|
| **输入** | 用户会话中的行为模式 | 真实任务执行的完整 trajectory |
| **输出** | SKILL.md + plugin.py | JSONL 训练数据（SFT/GRPO） |
| **优化目标** | 创建新的可复用 skill | 训练更好的 tool-calling 模型 |
| **评估方式** | 交互式用户确认 | 三维奖励函数（completion 60% + efficiency 20% + recovery 20%） |
| **自动化程度** | 半自动（需用户确认） | 全自动 |

Skill Distillation 的 RealWorldTaskEnv 涵盖 30 个覆盖 coding、web research、file operations、data analysis、system administration 的任务，通过 ToolContext 验证提供客观的完成度评估，避免纯 LLM 评判的不稳定性。demo 工具支持对比 vanilla Hermes-4-14B 与 fine-tuned 版本的性能差异。

此外，BMAD Skill Forge [18-bmad-module-skill-forge] 提供了第三种范式——**从源码生成 skill**。核心创新是 "falsifiable output"：不是"这个函数大概这样用"，而是"这个函数在 foo.py 第 42 行，参数签名是 X"。三种范式覆盖了 skill 自动生成的主要来源：**Skill Factory 从用户工作流中提取，Skill Marketplace 从 agent 自身任务中提取，BMAD Forge 从源码和文档中提取**。

## 跨平台 Skill 互操作性：现实与理想

agentskills.io 标准承诺"write once, deploy everywhere"，实际互操作性在多个维度得到验证 [03-litprog-skill, 14-pydantic-ai-skills, 21-skillsdotnet]：

**跨 agent 产品**：Litprog Skill 在 Claude Code、OpenCode、Hermes 三端兼容运行。Chainlink 和 Black Forest Labs（FLUX）作为协议方和模型方亲自开发 agentskills.io 兼容 skill [12-chainlink-agent-skills, 13-black-forest-skills]，验证了标准在 Web3 和多模态 AI 领域的适用性。

**跨编程语言**：Pydantic AI Skills（Python）和 SkillsDotNet（C#）共同证明了标准的跨语言可移植性。SkillsDotNet 的 URI 资源约定（`skill://{name}/SKILL.md`、`skill://{name}/_manifest`、`skill://{name}/files/{path}`）为 skill 发现提供了标准化路径。Vendor shortcuts 内置了 Claude、Cursor、Copilot、Codex、Gemini、Goose、OpenCode 的快捷配置。

**跨 agent 通信**：Evey Bridge [01-hermes-plugins, 29-evey-bridge-plugin] 实现了 Hermes ↔ Claude Code 的双向通信——文件队列 + MCP server 的桥接架构，每次 prompt 自动注入 bridge 上下文，使跨 agent 协作对用户透明。

**现实差距**：各 agent 产品对标准的实现深度不一，"兼容"不等于"完全一致"。安全模型尚未标准化——恶意 skill 的防护完全取决于各 agent 自身实现。复杂的多步骤 workflow 可能需要超出标准的额外约定。

## 社区治理与成熟度标签体系

Hermes skill 生态的成熟度呈现清晰的金字塔结构：

**Production 层**：Anthropic Cybersecurity Skills（754 skills，4k+ stars）[11-cybersecurity-skills]、Wondelai Skills（48+ skills，380+ stars）[10-wondelai-skills]、Chainlink Agent Skills [12-chainlink-agent-skills]、FLUX Skills [13-black-forest-skills]。这些项目有明确的组织支持、持续维护和生产验证。

**Beta 层**：Hermes Plugins（23 plugins）[01-hermes-plugins]、Skill Factory [02-hermes-skill-factory]、Incident Commander [07-hermes-incident-commander]、Dojo [08-hermes-dojo]、ExecPlan [16-execplan-skill]、Maestro [17-maestro]、PLUR [22-plur]、HermesHub [30-hermeshub-skilldock] 等。功能基本完整，但需要更多生产验证。

**Experimental 层**：Skill Marketplace [09-hermes-skill-marketplace]、Life OS [06-hermes-life-os]、PayGuard [23-hermes-payguard]、Ripley XMR Gateway [20-ripley-xmr-gateway]、Wizards of the Ghosts [04-wizards-of-the-ghosts] 等。创意丰富但成熟度不足，多为 hackathon 产物或个人实验。

**安全治理机制**：HermesHub 的 65+ threat rules 覆盖 8 个安全类别（exfiltration、prompt injection、destructive commands、obfuscation、hardcoded secrets、network abuse、env abuse、supply-chain），关键设计是**管理员也无法覆盖安全扫描的 critical findings**——zero-trust 安全理念的体现。Agent-to-agent feedback protocol 带 trust score 计算，为 skill 信任体系奠定基础。

**当前挑战**：多个 registry 的碎片化（HermesHub、SkillDock、Wondelai Marketplace）可能导致用户困惑。部分项目的 README 从 main/master 分支获取失败，反映了 experimental 项目的仓库管理规范性不足。尚无统一的 skill 签名/加密验证机制。

## 安全 Skill 生态：MITRE ATT&CK 753+ Skills 的启示

Anthropic Cybersecurity Skills [11-cybersecurity-skills] 是整个 skill 生态中最成熟的垂直领域应用，提供了多个可推广的设计模式：

**Progressive Disclosure 的极致应用**：YAML frontmatter 扫描仅需约 30 tokens，完整工作流需 500-2,000 tokens。在管理 754 个 skill 的规模下，这种分层加载策略使 agent 可以在不消耗大量 context 的情况下发现和加载所需 skill。这一模式已被 Pydantic AI Skills 和 SkillsDotNet 采用。

**多框架交叉映射**：5 大安全框架（MITRE ATT&CK、NIST CSF 2.0、MITRE ATLAS、MITRE D3FEND、NIST AI RMF）的交叉映射从"人工查阅参考文档"变为 agent 可执行的结构化 skill。ATT&CK 14 个 enterprise tactics 全覆盖，含 Navigator layer 可视化。重点领域：Cloud Security（60）、Threat Hunting（55）、Threat Intelligence（50）、Web App Security（42）。

**垂直领域规模化的范本**：证明了 agentskills.io 标准可以支撑大规模、高专业度的 skill 库。这对其他垂直领域的 skill 库建设有直接参考价值：**先建立领域框架映射，再以 progressive disclosure 控制 token 成本，最后通过标准化格式确保跨平台兼容**。同样的模式可复制到合规审计（SOX/GDPR/ISO 27001）、软件架构（TOGAF/C4）、金融分析（Basel III/IFRS）等领域。

**与 Hermes Alpha 的实战呼应**：Hermes Alpha [07-forks-guides/03-hermes-alpha] 的 bug bounty 双 agent 架构（Overseer + Hunter）展示了安全 skill 在自动化漏洞发现中的实际应用——四阶段安全分析（Recon → Analysis → Verification → Reporting）可以直接消费 Cybersecurity Skills 中的对应 skill。

## 跨项目洞见

1. **Skill 生态的"供给侧革命"已经开始**。Skill Factory、Skill Marketplace、BMAD Skill Forge、Incident Commander 的自动 playbook 生成——多个项目从不同角度实现了 skill 的自动化创建。当 skill 供给从"人工编写"转向"agent 自动生成"，生态增长速度将发生质变。对应的挑战是质量控制——HermesHub 的 65+ 安全规则和 Skill Marketplace 的 ≥ 0.8 质量门控是早期尝试，但远未足够。

2. **"协议方亲自下场"是生态成熟的标志**。Chainlink（Web3 oracle）和 Black Forest Labs（FLUX 图像生成）作为基础设施和模型提供方，亲自开发 agentskills.io 兼容 skill。这意味着 skill 标准已超越"agent 生态内部规范"，开始成为 **服务提供方与 AI agent 交互的事实标准**。

3. **垂直领域 skill 的深度远超预期**。气象 skill 达到 ECAPE 计算和 NEXRAD 雷达产品解析的专业深度 [25-hermes-weather-plugin, 26-hermes-wxtrain-plugin]，Python + Rust 混合架构实现性能关键路径的高效执行；DevOps skill 通过奇幻法术隐喻实现了 123 个运维操作的直觉化组织 [04-wizards-of-the-ghosts]；金融 skill 覆盖了 USDC 转账、跨链 CCTP、Monero 隐私支付 [23-hermes-payguard, 20-ripley-xmr-gateway]。这表明 agent skill 已不再停留在"搜索+总结"的浅层能力。

4. **跨 agent 记忆共享是下一个前沿**。PLUR 的 engram 格式和 ACT-R 自然衰减模型 [22-plur] 提供了跨工具持久化记忆层，86.7% LongMemEval 得分证明本地方案可以不输云端。这种 "memory as infrastructure" 的理念与 skill 系统正交互补——skill 定义 "how to"，memory 定义 "what I know"。

5. **Skill 经济的商业模式尚在探索**。HermesHub（创作者 95% 收入 + 加密钱包支付）、SkillDock（USD + TON 双轨支付）、Wondel.ai（社区 marketplace）代表了三种不同的商业化尝试。但 22 个验证 skill（HermesHub）和"模拟 PR"发布机制（Skill Marketplace）都显示生态仍处于极早期。参考 npm（免费 + 企业版）和 WordPress 插件市场（freemium）的成熟模式，最终可能收敛到"基础免费、企业定制付费"。

## 对技术管理者的建议

1. **立即标准化团队的 skill 开发格式为 agentskills.io**。30+ agent 产品的兼容性意味着你的 skill 投资不会被锁定在单一平台。即使未来更换 agent runtime（从 Hermes 到 Claude Code 或反之），skill 资产仍然可用。将团队最频繁的 3-5 个工作流（code review、deploy checklist、incident response 等）编写为 SKILL.md，每个约 1-2 小时即可完成。

2. **优先从"重复性高、规则明确"的内部工作流开始 skill 化**。SRE playbook（参考 Incident Commander）、代码审查流程、部署 checklist 是最佳起点。Skill Factory 的模式检测可以辅助发现这些候选工作流。

3. **建立内部 skill registry 并实施安全扫描**。参考 HermesHub 的 65+ threat rules 设计，至少覆盖 exfiltration、prompt injection、destructive commands 三个高风险类别。对第三方 skill 保持"untrusted by default"立场。

4. **关注 progressive disclosure 模式在大规模 skill 库中的必要性**。当 skill 数量超过 50 个，YAML frontmatter 的约 30 tokens 扫描 vs 完整加载的 500-2,000 tokens 差异将显著影响 agent 的响应速度和成本。Cybersecurity Skills 的设计模式值得借鉴。

5. **对金融类 skill 保持最高谨慎**。PayGuard 的 "approval is external to the model loop" 设计原则应该成为所有涉及资金操作的 skill 的基本要求。先在 testnet 验证，设置严格的 spending caps，确保 audit ledger 完整。

6. **评估 Skill Factory + Dojo 的 "自动发现 + 持续改进" 组合**。这对工程团队意味着：你不需要专人维护 skill 库，agent 自己会发现需要的新 skill 并持续优化现有 skill。但需要建立人工审核门控，避免低质量 skill 污染生态。当前两个项目均处于 beta 阶段，建议先在 staging 环境验证。

7. **关注 MCP + agentskills.io 的融合趋势**。最佳实践可能是：用 agentskills.io 管理 procedural knowledge（工作流、方法论），用 MCP 管理 tool connections（API 集成、数据库访问）。Agentic-MCP-Skill 的 86% token 节省验证了这种融合的技术可行性。

## 引用来源

| 标识 | 来源 |
|------|------|
| 01-hermes-plugins | notes/02-skills/01-hermes-plugins.md |
| 02-hermes-skill-factory | notes/02-skills/02-hermes-skill-factory.md |
| 03-litprog-skill | notes/02-skills/03-litprog-skill.md |
| 04-wizards-of-the-ghosts | notes/02-skills/04-wizards-of-the-ghosts.md |
| 05-super-hermes | notes/02-skills/05-super-hermes.md |
| 06-hermes-life-os | notes/02-skills/06-hermes-life-os.md |
| 07-hermes-incident-commander | notes/02-skills/07-hermes-incident-commander.md |
| 08-hermes-dojo | notes/02-skills/08-hermes-dojo.md |
| 09-hermes-skill-marketplace | notes/02-skills/09-hermes-skill-marketplace.md |
| 10-wondelai-skills | notes/02-skills/10-wondelai-skills.md |
| 11-cybersecurity-skills | notes/02-skills/11-cybersecurity-skills.md |
| 12-chainlink-agent-skills | notes/02-skills/12-chainlink-agent-skills.md |
| 13-black-forest-skills | notes/02-skills/13-black-forest-skills.md |
| 14-pydantic-ai-skills | notes/02-skills/14-pydantic-ai-skills.md |
| 15-cognify-skills | notes/02-skills/15-cognify-skills.md |
| 16-execplan-skill | notes/02-skills/16-execplan-skill.md |
| 17-maestro | notes/02-skills/17-maestro.md |
| 18-bmad-module-skill-forge | notes/02-skills/18-bmad-module-skill-forge.md |
| 19-agentic-mcp-skill | notes/02-skills/19-agentic-mcp-skill.md |
| 20-ripley-xmr-gateway | notes/02-skills/20-ripley-xmr-gateway.md |
| 21-skillsdotnet | notes/02-skills/21-skillsdotnet.md |
| 22-plur | notes/02-skills/22-plur.md |
| 23-hermes-payguard | notes/02-skills/23-hermes-payguard.md |
| 24-hermes-web-search-plus | notes/02-skills/24-hermes-web-search-plus.md |
| 25-hermes-weather-plugin | notes/02-skills/25-hermes-weather-plugin.md |
| 26-hermes-wxtrain-plugin | notes/02-skills/26-hermes-wxtrain-plugin.md |
| 27-hermes-chrome-profiles | notes/02-skills/27-hermes-chrome-profiles.md |
| 28-hermes-cloudflare | notes/02-skills/28-hermes-cloudflare.md |
| 29-evey-bridge-plugin | notes/02-skills/29-evey-bridge-plugin.md |
| 30-hermeshub-skilldock | notes/02-skills/30-hermeshub-skilldock.md |
| 01-core/07-agentskills-io | notes/01-core/07-agentskills-io.md |
| 01-core/04-hermes-self-evolution | notes/01-core/04-hermes-self-evolution.md |
| 01-core/08-release-notes | notes/01-core/08-release-notes.md |
| 07-forks/04-hermes-skill-distillation | notes/07-forks-guides/04-hermes-skill-distillation.md |