Blog
PLEN

Claude Code Skille w 2026, co warto znać, czego unikać i dlaczego 36% z nich próbuje cię okraść

Skille zjadły slash commands, plugin marketplace ma 1234 pozycji, oficjalne Anthropic skille robią design, a ToxicSkills znalazł prompt injection w ponad jednej trzeciej. Praktyczny przegląd ekosystemu, co zainstalować, co przeskanować, co usunąć.

·8 min read
#AI#claude-code#skille#produktywność#bezpieczeństwo
Claude Code Skille w 2026, co warto znać, czego unikać i dlaczego 36% z nich próbuje cię okraść

Słuchaj, jeśli rok temu dołączyłeś do Claude Code i zrobiłeś sobie kilka slash commands, to dziś masz problem nazewniczy: te slash commands to teraz skille. Slash commands jako osobna kategoria zostały stopione w skille pod koniec 2025. Ten sam plik markdown, te same triggery, inne miejsce w hierarchii, i nagle wszyscy mówią, że masz "stack skilli", chociaż ty po prostu masz katalog .claude/commands/.

To dobry moment na inwentaryzację. Bo skille w 2026 to nie tylko zmiana etykiety, to oddzielny ekosystem z 1234+ wpisami w awesome-claude-skills, oficjalnym marketplaces SkillsMP, claudemarketplace.com z ratingami i licznikami instalacji, oficjalnymi skillami Anthropic, i, rzecz jasna, pełnym wachlarzem zagrożeń bezpieczeństwa, których w slash commands nie było, bo slash command nie pakował ze sobą skryptów wykonywanych pod jakimś pretekstem.

Ten post to przewodnik po tym, co warto znać. Bez listy "top 50 skilli, które zmienią twoje życie", bez marketingu, bez emoji w nagłówkach. Tylko mapa terenu.

Co to właściwie jest skill (i czym różni się od reszty)

Hierarchia w 2026 wygląda tak, i jest niejasna nawet dla osób, które to budują:

  • Skill, plik SKILL.md z YAML frontmatter (name, description, opcjonalnie tools) i markdown content. Ładuje się progressywnie: na starcie Claude widzi tylko nazwę i opis (~100 tokenów), pełną treść otwiera dopiero gdy uzna, że pasuje do zadania. To jest jednostka instrukcji.
  • Command, historycznie osobna rzecz, dziś tylko skill, który wywołujesz jawnie przez /nazwa. Slash commands i skille zostały zunifikowane.
  • Agent (subagent), osobny kontekst Claude'a uruchamiany do konkretnego zadania. Ma własne tools, własne okno kontekstu, zwraca wynik. Skill mówi "jak coś zrobić", agent idzie i to robi w izolacji.
  • Plugin, kontener dystrybucyjny. Pakuje skille + agenty + hooks + MCP servers w jeden installable bundle. Plugin to opakowanie, skill to zawartość.
  • MCP server, to inna kategoria w ogóle, pisałem o tym osobno. Skill udziela instrukcji, MCP daje narzędzia. Często pracują razem.

Praktycznie: jeśli masz powtarzalny workflow specyficzny dla twojej pracy, piszesz skill. Jeśli chcesz zewnętrzne API, bierzesz plugin albo MCP. Jeśli zadanie wymaga długiego, izolowanego kontekstu (np. research), odpalasz agenta. To są różne narzędzia do różnych problemów i trzymanie się tego rozróżnienia oszczędza dużo bólu.

Progressive disclosure, dlaczego to genialne i dlaczego to też podatność

Mechanizm jest sprytny: Claude na starcie sesji ładuje wyłącznie metadane skilli z frontmatter. Trigger description w YAML to twój reklama produktowa, Claude czyta wszystkie i decyduje, który skill aktywować, gdy pasuje do user message. Pełna treść SKILL.md (do 5k tokenów), bundlowane skrypty, referencje, to wszystko load-on-demand.

Konsekwencja praktyczna numer jeden: jakość description ma większe znaczenie niż jakość treści. Skill z genialną treścią ale zerową triggerability nie odpali się nigdy. Skill z mizerną treścią ale precyzyjnym description, odpali się przy każdej pasującej okazji. Pisz description tak, jakbyś pisał dokumentację dla bota, nie dla człowieka.

Konsekwencja praktyczna numer dwa, bezpieczeństwowa: progressive disclosure oznacza, że nie wiesz, co skill ci załaduje, dopóki go nie wywołasz. Frontmatter widzisz, treści markdown nie. Skrypty pakowane razem ze skillem, tym bardziej. To jest dokładnie ten model zaufania, który atakujący lubią najbardziej.

Oficjalne Anthropic skille, które warto mieć

Anthropic opublikował oficjalny zestaw skilli w anthropics/claude-code i część z nich jest na tyle dobra, że nie ma sensu ich nie mieć. Po instalacji przez npx skills add anthropics/claude-code --skill <nazwa>:

  • canvas-design, generowanie pracy wizualnej (PNG, PDF, plakaty, mockupy) z designową filozofią. To jest skill, który działa naprawdę, nie tylko renderuje placeholdery. Jeśli kiedykolwiek prosiłeś Claude'a o "ładny render" i dostawałeś markdownowy szkielet, ten skill rozwiązuje problem.
  • frontend-design, 277k+ instalacji. Wzorce produkcyjnych UI, smaki estetyczne, tokens, layouty. Nazywany "skillem, który eliminuje generyczny AI look". Jeśli budujesz frontend i chcesz, żeby nie wyglądał jak default shadcn z Vercel template gallery, bierzesz.
  • simplify, refaktor i podnoszenie jakości recently changed code. Robi parę przebiegów po świeżym diffie i wycina powtórzenia, redundantne abstrakcje, nadmiarowe komentarze. Brzmi jak pierdoła, ale w praktyce oszczędza review-ery sporo pracy.
  • slides, strategiczne prezentacje HTML z Chart.js, design tokens, responsywne layouty. Niezbyt ekscytujące, dopóki nie musisz w środę o 14:00 zrobić deck dla zarządu.
  • brand, voice, identity wizualna, messaging frameworks. Dobry, jeśli prowadzisz coś z wieloma touchpointami i chcesz zachować spójność.

Anthropic odpalił też równolegle Claude Design (research preview, Pro/Max/Team/Enterprise), to oddzielny produkt powered by Opus 4.7, do polerowanych mockupów, prezentacji, one-pagerów. Inny use case niż skille, ale warto wiedzieć, że istnieje.

Społecznościowy ekosystem, gdzie szukać i czego nie tykać

Trzy źródła, które są dziś realnym standardem:

  1. travisvn/awesome-claude-skills i ComposioHQ/awesome-claude-skills, kuratorowane listy GitHub-style. Mają ratingi i komentarze. Większość pozycji jest sensowna, ale jakość jest bimodalna: albo bardzo dobre, albo bardzo średnie.
  2. claudemarketplace.com, directory z liczbami instalacji. To dobry sygnał socjologiczny ("ileś tysięcy ludzi tego używa") i marny sygnał jakości ("ileś tysięcy ludzi tego używa"). Filtruj po liczbie instalacji i dacie ostatniego update'u.
  3. SkillsMP, marketplace z weryfikacją. Wolniejsze tempo, więcej curation, mniej śmieci.

Z konkretów, które warto zobaczyć:

  • trailofbits/skills, Claude Code skille do security research, vulnerability detection, audit workflows. Pisane przez ludzi, którzy zawodowo łamią systemy. Nie tylko dla red teamerów, to dobre skille do sanity check'owania własnego kodu.
  • kiro skille (kiro:spec-init, kiro:spec-design, kiro:spec-tasks, kiro:spec-impl), implementacja spec-driven development, o której pisałem osobno. Jeśli pracujesz w SDD, to są must-have.
  • ui-ux-pro-max, 50+ stylów, 161 palet, 57 par fontów, 99 UX guidelines. Brzmi jak pakowanie pluszaków, ale w praktyce wyciąga UI z generycznego AI-loku.
  • dev-browser, browser automation z persistent state. Pisałem na nim większość moich Playwright workflowów ostatnio.
  • plugin-dev: familia (plugin-structure, command-development, hook-development, agent-development), jeśli sam piszesz plugin/skille, to jest twój podręcznik.

Ogólna zasada: jeśli skill ma więcej niż 30 plików w bundle, mniej niż 100 instalacji i ostatni commit sprzed 4 miesięcy, nie. Trzy zły flagi z trzech.

Bezpieczeństwo, i tu robi się brzydko

Snyk opublikował ToxicSkills research w marcu 2026. Liczby są nieprzyjemne:

  • 36% audytowanych skilli zawierało prompt injection
  • 1467 malicious payloads zidentyfikowanych w ekosystemie
  • ClawHavoc campaign: rodzina skilli z opóźnioną aktywacją, która odpalała reverse shell po N-tym uruchomieniu
  • Cato Networks raportował kampanię z MedusaLocker ransomware weaponizowanym jako skill, SKILL.md instruuje Claude'a do wykonania zapakowanego skryptu pod benignym pretekstem

Mechanika ataku jest banalna: skill pakuje shell albo Python script, SKILL.md mówi "to enable feature X, run setup script", Claude wykonuje, atakujący ma RCE. Najbardziej przebiegłe warianty mają trigger conditions, odpalają payload tylko po pewnej liczbie użyć, albo gdy zmienna środowiskowa pasuje, albo gdy data systemowa jest w określonym oknie. Casual inspection ich nie wyłapie.

Repello AI prowadzi SkillCheck, skanner, który wystawia verdict (Low/Medium/High/Critical) na podstawie pattern matchingu. To nie jest ground truth (część legitnych skilli flaguje się Critical przez szeroki tooling scope), ale to jest szybki filtr przed instalacją czegoś nieznanego.

Praktyczne reguły, które wprowadziłem u siebie po przeczytaniu ToxicSkills:

  1. Czytam każdy SKILL.md przed instalacją. Nie sample'uję, czytam całość. To 2 minuty.
  2. Sprawdzam, czy skill pakuje skrypty. ls -la na skill directory. Jeśli są .sh, .py, .js poza markdownami, otwieram je.
  3. Nie instaluję skilli bez aktywności w ostatnich 60 dniach. Stary skill z legitnym kodem może być przejęty (account compromise, malicious PR merge).
  4. Trzymam allowlistę zaufanych autorów. Anthropic, Trail of Bits, Composio, kilku znanych ludzi z community. Nowi muszą się wykazać.
  5. Skille trzymające credentials/tokens dostają osobny audyt. Każdy skill, który czyta .env, ~/.aws/credentials, ~/.ssh/, dostaje pełny review każdego pliku w bundle.

To nie jest paranoja. To jest "twój .claude/skills/ to 30 katalogów, każdy z prawem do wykonania kodu jako ty".

Pięć rekomendacji praktycznych

  1. Pisz własne skille zamiast szukać. 80% rzeczy, które robisz, jest specyficzne dla twojego kontekstu. Skill to 50 linii markdownu. Napiszesz w 15 minut, używasz tygodniami.
  2. Inwestuj w description w frontmatter. To jest twój trigger. "Use when user wants to deploy" przegrywa z "Use when user mentions deploy, ship, release, push to prod, or asks how to update production". Bądź gęsty w synonimy.
  3. Trzymaj długie referencje w plikach pomocniczych. SKILL.md powinien mieć poniżej 500 linii. Wszystko grubsze leci do references/, examples/, templates/ i ładuje się on-demand.
  4. Wersjonuj skille w git wraz z projektem. .claude/skills/ w repo, nie w global config. Każdy kontrybutor dostaje ten sam zestaw, plus wszyscy widzą zmiany w PR.
  5. Audytuj skille przed instalacją z marketplace. SkillCheck verdict, ręczne czytanie SKILL.md, ls bundle, decyzja. Nie skip'uj tego kroku, nawet jeśli skill ma 10k instalacji.

Co dalej

Ekosystem skilli w 2026 jest dokładnie tam, gdzie był ekosystem npm w 2017: realna wartość, masa pakietów, kwitnący atak surface, marketplace mature ale wciąż dziki west. To narzędzie, które realnie zmienia produktywność, i jednocześnie kategoria, gdzie nieostrożność kosztuje cię dane, klucze albo całe środowisko.

Trzy ruchy, które warto teraz zrobić:

  1. Przeskanuj swoje obecne .claude/skills/ przez SkillCheck albo ręcznie. Usuń wszystko, czego nie używasz.
  2. Zainstaluj 3-4 oficjalne Anthropic skille z listy wyżej i poznaj ich realne triggery (nie ufaj description, testuj).
  3. Napisz jeden własny skill na coś, co robisz częściej niż raz w tygodniu. Nie czytaj o tym jak pisać skille, po prostu napisz pierwszy. Drugi pójdzie szybciej.

Skille to teraz domyślny sposób rozszerzania Claude'a. Albo z nimi pracujesz, albo zostajesz z bare bonem, który jest świetny, ale nie zna twojego workflow.

Źródła i linki: