定义与边界什么是 SKILL什么是 MetaSKILL1.1 SKILLAI Agent 的模块化能力单元Agent Skill 是一种轻量级、开放格式的 AI agent 能力扩展机制 [8]。它的物理形态是一个包含SKILL.md的目录YAML 前置元数据定义name、description、triggers等字段用于 agent 的自动发现 [1][9]Markdown 指令体描述何时以及如何使用工具、执行何种工作流可选资源包括脚本、模板、参考数据 [9]。Skill 与 Tool 有本质区别Tool 是单一函数调用Skill 是结构化的多文件能力包封装了工作流指令、可执行脚本与领域知识参考 [16]。Tool 是锤子Skill 是装修手册。1.2 MetaSKILL三个层次的精确定义MetaSKILL在实践与学术中已形成三个清晰的含义层次层次一Skill 生成器——能够自动创建、编辑、优化 SKILL.md 的 Skill。Anthropic 发布了官方skill-creator[15]OpenClaw.NET 内置了meta-skill-creator支持三种 DAG 模式p1_sequential、p2_fan_out_merge、p3_condition_gated[18]。层次二Skill 编排器——在众多 Skill 中选择、组合、编排以完成复杂任务。AgentSkillOS [2] 将 Skill 组织为能力树用 DAG 编排多 Skill 流水线。层次三生产级多步 DAG 工作流OpenClaw.NET 定义——这是 MetaSKILL 最工程化的定义 [18][19]MetaSkill 将重复的多步工作封装为可复用、可审查的 DAG 工作流。当一个请求需要超过一个普通 Skill、工具、检查点或最终综合步骤时使用 MetaSkill。核心对比OpenClaw.NET 精确区分 [18]能力适用场景Skill(kind: standard)一个聚焦任务——指令作为 system prompt 注入。1 步无 DAG无暂停无降级。MetaSkill(kind: meta)3-12 步可复用 DAG带depends_on、on_failure、user_input暂停点完整审计轨迹。举例总结这份文档是 Skill 形态。将这份合同、报价和邮件转化为签/拒/谈决策建议包含风险和后续行动是 MetaSkill 形态 [18]。从系统角度看MetaSKILL 是 Skill 生态的操作系统——它负责 Skill 的发现、选择、组合、执行与演化。2 MetaSKILL 解决的六个真问题OpenClaw.NET 的设计文档精确定义了 MetaSKILL 要解决的单 Skill 无法应对的六个工程问题 [20]#问题单 SkillMetaSKILL 方案1长任务卡死没法停❌timeout_secondsretry 合约封顶四层有界执行2多步任务需要人确认关键节点❌user_inputclarify checkpoint 暂停/恢复3复杂流程要可审计 可恢复❌MetaRunHistoryreplayreconstructproposals4不同 Skill 之间需要编排依赖❌depends_onDAG skill_exec/agent委托5任务失败需要 fallback 降级路径❌on_failure5 条工程约束 输出镜像6多团队复用同一任务模板❌Meta-skill 即模板 Session 隔离 catalog2.1 问题 1-2执行期可靠性长任务卡死四层超时保护——步骤级timeout_secondsCancellationToken→ 步骤重试retry.max_attemptsbackoff_ms→ 会话合约ContractPolicy.MaxRuntimeSeconds→ Agent 循环maxIterations 熔断器 [19][20]。人工确认节点user_input步骤暂停 DAG 等待结构化人工输入。运行时保存完整 checkpointpending/blocked/outputs/stepResults到 Session用户输入后恢复。可配置timeout_secondson_failure降级防止无限等待 [19]。2.2 问题 3运维期可信度每次执行自动记录SessionMetaRunRecord包含每步耗时、失败码和执行证据 [19]。运维人员可通过 CLI 查看、回放预览和审计重建openclaw skills meta-runs sid --run id --verbose --json openclaw skills meta-runs replay sid --run id openclaw skills meta-runs reconstruct sid --run id2.3 问题 4-5编排期韧度DAG 编排步骤通过depends_on声明形成有向无环图。独立步骤并行执行波次调度。DAG 引擎在AgentRuntime原生和MafAgentRuntimeMicrosoft Agent Framework 适配器之间共享行为一致 [19]。降级路径on_failure声明替代步骤。当主步骤失败时运行时激活 fallback 并将其输出镜像到主步骤 ID——下游步骤无感知。五条工程约束parse-time runtime 双重校验fallback 目标必须存在、不能自引用、fallback 不能有on_failure禁止链式、同一 fallback 只能被一个 primary 引用、fallback 不能有depends_on[19][20]。2.4 问题 6协作期复用性一份SKILL.md在所有团队共享每次执行在独立 Session 上下文outputs字典、MetaExecutionCheckpoint、MetaRunHistory均绑定session.Id模板通过{{ input }}、{{ outputs.X }}传递上下文参数化 [20]。本质总结 [20]问题 1-2执行期可靠性 (timeout 暂停) 问题 3 运维期可信度 (可审计 可恢复) 问题 4-5编排期韧度 (DAG fallback) 问题 6 协作期复用性 (模板 隔离)3 架构与技术实现3.1 SKILL.md一个事实上的开放标准2025 年底 Anthropic 将 SKILL.md 格式发布为开放规范 [9]迅速被 10 平台采纳 [8]。OpenClaw 和 Claude Code 使用完全相同的 SKILL.md 格式一个为 Claude Code 编写的 Skill 无需修改即可在 OpenClaw 中使用 [4]。OpenClaw 采用六级优先级覆盖设计 [1]workspace skills project agent skills personal agent skills managed skills bundled skills extra dirs。每个 agent 可通过 allowlist 独立控制可见的 Skill 集合。3.2 MetaSKILL 的架构方案方案 AOpenClaw.NET MetaSkill 编排器生产级 DAG 工作流这是目前工程化程度最高的 MetaSKILL 实现 [19]。核心组件解析管线SKILL.mdYAML frontmatter →SkillLoader解析composition.steps→TryValidateMetaPlanDAG 结构校验唯一 ID、Kind 有效性、依赖引用、无环校验、OnFailure 5 条约束、MetaSkill 嵌套禁止、Route 目标校验 8 项检查→ 进入ExecuteMetaSkillAsync调度循环。六种步骤类型[19]Kind执行方法工具访问成本适用场景agent委托到其他 Skill 指令✅ 完整最高开放式推理与综合分析llm_classify强制返回闭集合标签❌最低路由分类器llm_chat有界 LLM 生成❌低有界综合tool_call直接工具调用✅ 直接最低确定性副作用skill_exec子进程执行✅ 子进程低CLI 包装的 Skill 执行user_input暂停等待人工输入❌暂停开销人工介入澄清表单双运行时架构DAG 引擎在AgentRuntime原生和MafAgentRuntimeMicrosoft Agent Framework 适配器之间共享。仅 LLM 调度路径不同——CallLlmWithResilienceAsyncvs_chatClient.GetResponseAsync——等价测试保证行为一致 [19]。失败处理on_failure替代步骤 continue_on_error控制错误传播 输出镜像机制fallback 输出写入主步骤 ID 的 outputs 槽位下游无感知[19]。用户输入暂停/恢复skip_ifJinja 评估 → 可选 NL 预提取 → checkpoint 保存到 Session → 返回waitingPrompt恢复时TryRestoreMetaExecutionCheckpoint重建状态已完成步骤不重新执行 [19]。触发器匹配确定性子串匹配不区分大小写按meta_priority 触发短语长度排序 路由提示注入通过BuildMetaRoutingSuffix将路由提示注入 system prompt[19]。方案 BAgentSkillOS 能力树 DAG 编排上海人工智能实验室提出 [2]将 Skill 组织为能力树根节点五个大类 → 递归细分 → 可达 20 万 Skill 规模然后通过 DAG 编排多 Skill 执行。能力树检索在 20 万规模下近似 oracle 水平DAG 编排显著优于原生扁平调用。方案 CEvoSkills 协同进化式 Skill 生成Skill Generator 迭代生成与优化 Surrogate Verifier独立 LLM 会话合成测试用例提供高保真反馈 [16]。5 轮进化内超越人工 Skill且进化后的 Skill 可跨 6 个不同模型迁移。方案 DCASCADE 双重 Meta-Skill给 agent 装上两个 meta-skill持续学习自行搜索文档和代码示例 Skill 自生成在任务执行中自动捕捉可复用工作流并沉淀为 Skill[17]。4 安全快速膨胀的生态系统面临严峻挑战4.1 规模与风险并存截至 2026 年 2 月公开 Skill 数量超 28 万 [2]社区贡献超 5,200 个 [11]。Snyk 的 ToxicSkills 研究 [3] 对 3,984 个 Skill 的全量安全审计13.4%534 个包含至少一个严重级安全问题36.82%1,467 个存在至少一个安全缺陷76 个恶意载荷被确认8 个恶意 Skill 仍在 clawhub.ai 公开可用 [3]。4.2 攻击面全景学术界对 31,132 个 Skill 的系统性实证研究 [12] 建立了四大类脆弱性分类类别代表性漏洞受影响数提示注入指令覆写 23、隐藏指令 31、数据外泄命令 18~98数据外泄外部数据传输 89、环境变量采集 127、文件系统枚举 68~312权限提升过度权限请求 94、sudo/root 执行 41、凭证访问 52~187供应链未锁定依赖 156、外部脚本拉取 67、混淆代码 55~2784.3 防御与治理OpenClaw 的三层安全ClawHub 安装前展示 VirusTotal ClawScan 扫描状态、openclaw skills verify验证信任信封、security.installPolicy自定义安装前安全策略 [1]。OpenClaw.NET MetaSKILL 自身内置tool_allowlistmetadata.capabilitiesMetaSkill.Enabled三重门控 [19]。5 生态与产业图景当前 SKILL 生态的分布渠道已形成多层级结构官方注册表ClawHub、Anthropic Skills、社区集市Agensi 商业化市场、ClaudeSkills.info、代码托管awesome-agent-skills 精选合集 [10]、MCP 集成 [11]。Jonathan Gelin 将 Skill 定义为AI 时代的 npm 包格式——可复用的 Markdown 指令包 [6]。6 学术研究前沿6.1 SkillsBench系统性基准首个将 Agent Skill 作为一等工件评估的基准框架 [5][14]。核心发现Skill 提供显著但非均匀的收益、2-3 个 Skill 是最优配置、中等长度 Skill 优于巨量 Skill、小模型Skill 可超越大模型无 Skill、一次性自生成 Skill 几乎无效甚至有害。6.2 EvoSkills从无效到超越针对 SkillsBench 中自生成 Skill 无效的结论通过迭代进化 Surrogate Verifier 验证机制将自生成 Skill 质量提升至超越人工水平 [16]。6.3 OpenClaw.NET生产级的 MetaSKILL 工程方案OpenClaw.NET 的 MetaSKILL [18][19][20] 代表了当前最完整的工程实现——不仅是学术概念而是运行在AgentRuntime和MafAgentRuntime双运行时上的生产系统包含完整的解析、校验、调度、执行、暂停/恢复、审计、持久化管线。7 矛盾分析7.1 自生成 Skill冰火两重天SkillsBench [5]一次性自生成 Skill 在所有条件下负收益。EvoSkills [16]迭代进化后可超越人工 Skill。矛盾核心在生成机制而非生成能力——一次性生成缺乏验证反馈循环进化式生成补上了这个缺口。7.2 生态增长 vs 安全治理28 万 Skill [2] vs 36% 存在安全缺陷 [3]。关键差异Skill 本质是指令而非代码传统代码安全工具无法完全覆盖 Skill 攻击面。7.3 MetaSKILL 的定义之争学术界的 MetaSKILL 定义偏向Skill 生成 编排 [2][16][17]而 OpenClaw.NET 的工程定义增加了执行可靠性、人工介入、审计追踪、多团队复用四个维度 [20]。这两种视角并非矛盾而是互补——学术界提供方法工业界提供工程保障。7.4 已知盲区长期效果评估缺失所有研究都是短期 benchmarkSkill 间交互的涌现行为多 Skill 同时加载的非预期交互未系统研究MetaSKILL 的递归安全性谁保证 MetaSKILL 自身的安全性EvoSkills 的 Surrogate Verifier [16] 提供了内建验证但验证器自身可靠性尚未充分研究MetaSkill 嵌套问题OpenClaw.NET 明确禁止 MetaSkill 委托到另一个 MetaSkillTryValidateMetaPlan拒绝kind: meta的委托 Skill [19]但这限制了复杂场景的表达能力。