关键词:Agentic Skills、LLM 智能体、设计模式、技能生命周期、AI 安全
智能体技能——一种让 AI 不再每次都“从零开始”,而是像经验丰富的专家一样,调用内化的“肌肉记忆”来可靠完成任务的新范式。
表 5 | 该表格是智能体技能分类学的核心汇总,将代表性系统与设计模式、表征形式、应用范围等多维度绑定,同时通过脚注明确边界案例的分类依据。清晰呈现了当前技能研究的系统分布特征,也揭示出多数系统集中于代码表征、自演化库模式的现状,凸显了设计空间的探索空白。
如果一个程序员,每天都要处理空指针异常,但每次遇到这个问题,他都像第一次见到一样,从头开始分析调用栈、搜索解决方案——这听起来荒谬又低效。
然而,这正是当前大语言模型(LLM)智能体的常态。每接手一个新任务,它们都像是在一张白纸上作画,之前的成功经验随着对话上下文的刷新而烟消云散。
来自悉尼科技大学和 CSIRO Data61 的研究团队,在其系统化知识论文《SoK: Agentic Skills — Beyond Tool Use in LLM Agents》中,直指这一核心痛点,并提出了一套革命性的解决方案:Agentic Skills(智能体技能)。
简而言之,就是给 AI 一本不断累积的“工作手册”,让它从“临时工”蜕变为“熟练工”。
本文目录
- 一、什么是 Agentic Skills?不止是工具调用
- 1.1 核心定义:技能的“四块拼图”
- 1.2 技能 vs. 其他概念:别再搞混了
- 二、技能生命周期:从发现到“退休”的完整旅程
- 三、七种设计模式:技能的“七十二变”
- 四、安全警钟:ClawHavoc 供应链攻击
- 五、核心实证:Curated Skills vs. 自生成技能
- 结语:迈向可靠、可验证的智能体未来
一、什么是 Agentic Skills?不止是工具调用
1.1 核心定义:技能的“四块拼图”
作者给出了一个严谨的数学定义,将一项技能拆解为四个核心部分,像四块严丝合缝的拼图:
这个公式看似抽象,但用一个生活中的例子就能清晰说明。假设我们想为 AI 定义一个“智能邮件摘要”技能:
| 组件 |
符号与作用 |
实例:智能邮件摘要技能 |
| 适用性条件 (C) |
Condition,判断“何时”该用这项技能 |
当收件箱里有新邮件,且未读邮件超过 10 封时。 |
| 可执行策略 (π) |
Policy,明确“如何”执行,具体的行动步骤 |
1. 读取邮件 → 2. 提取关键点 → 3. 生成摘要 → 4. 格式化输出。 |
| 终止条件 (T) |
Termination,定义“何时”结束任务 |
摘要已成功生成并保存,或处理总时长超过 30 秒。 |
| 可调用接口 (R) |
Interface,规定“如何”调用,即技能的“使用说明书” |
skill.summarize_emails(max_count=10, format='bullet') |
用数学语言对技能进行定义,这个框架正是让 AI 告别即兴发挥,走向标准化作业的关键。
图 1 | 智能体技能的内部结构。观测信息 o 进入适用性闸门 C;策略 π 生成动作 A;终止条件 T 决定是否继续执行或停止。接口 R 将整个模块封装为可调用的 API 边界。目标 G 通常编码在观测信息 O 中或作为独立的任务参数传入;为直观简洁,本图仅将 O 作为单一输入呈现。该结构清晰拆解了智能体技能的四大核心组件协作逻辑。适用性条件 C 是技能激活的前置筛选关卡,确保技能仅在匹配场景中启动;策略 π 作为执行核心,可灵活采用自然语言指令、代码等多种形式;终止条件 T 精准把控执行节奏,为技能组合提供基础;接口 R 则实现了技能的模块化调用,是其区别于工具、计划等抽象概念的关键设计。
1.2 技能 vs. 其他概念:别再搞混了
作者清晰地划定了“技能”与几个易混淆概念的边界:
- 工具 (Tool):是单个、无状态的 API 调用,如“打开网页”。而技能能 orchestrate(编排)多个工具,内含决策逻辑,像一套“网页信息搜集”的组合拳。
- 计划 (Plan):是为某个任务临时生成的、一次性的推理步骤。而技能是跨会话持久化的,能随时被调用,像你的“会议纪要模板”。
- 记忆 (Memory):记录的是“发生了什么”(事实与事件)。而技能编码的是“该怎么做”(流程与知识)。
表 1 | 概念统一:大语言模型智能体系统中的智能体技能与相关抽象概念对比。从复用单元、执行语义、验证面、可组合性和治理面五个核心维度,系统对比了智能体技能与工具、计划、情景记忆、提示模板的差异。通过清晰的维度拆解,明确了智能体技能作为可调用流程模块的独特性,凸显其兼具可执行、可复用、可治理的核心优势,为界定技能的概念边界提供了直观依据。
二、技能生命周期:从发现到“退休”的完整旅程
作者提出了一套完整的技能生命周期模型,描绘了一项技能从无到有,再到最终退役的全过程。
图 2 | 智能体技能的生命周期。实线箭头表示主要正向流程;虚线箭头表示用于优化改进和淘汰退役的反馈循环。每个阶段均对应本文所调研的相关研究成果。该生命周期打破了技能的静态认知,将其视为动态演化的系统组件。从发现重复任务模式的 “发现阶段”,到通过试错迭代优化的 “实践改进阶段”,再到提炼为标准四元组结构的 “蒸馏阶段”,直至存储、组合、执行与评估更新,各环节通过反馈循环形成闭环。这一模型既覆盖了技能从诞生到退役的全流程,也为技能的持续优化提供了理论框架。
| 阶段名称 |
说明 |
| 1. 发现 (Discovery) |
系统自动识别重复性任务模式并记录为候选技能,如 Voyager 在《我的世界》中将“合成石镐”的完整过程存为技能。 |
| 2. 练习与精炼 (Practice/Refinement) |
通过试错与反馈优化技能,如 Reflexion 采用“口头强化学习”,失败后文字反思并指导后续尝试。 |
| 3. 提炼 (Distillation) |
将稳定执行过程标准化为 (C, π, T, R) 格式,如 AgentTuning 将 GPT-4 经验提炼注入小型开源模型。 |
| 4. 存储 (Storage) |
存入结构化技能库,以自然语言描述(如“用于砍树的技能”)为索引,支持语义相似度检索。 |
| 5. 检索与组合 (Retrieval/Composition) |
运行时按需检索并组合技能形成工作流,如 HuggingGPT 将用户请求分解,调度多个人工智能专家模型协同执行。 |
| 6. 执行 (Execution) |
在受控沙箱中运行,支持权限管理;CodeAct 将动作直接表示为可验证的 Python 代码。 |
| 7. 评估与更新 (Evaluation/Update) |
持续监控技能表现,因环境变化(如网站改版)失效时,启动修订、替换或退役机制。 |
三、七种设计模式:技能的“七十二变”
作者归纳了七种系统级的设计模式,展示了技能在不同场景下的“包装”和“执行”方式。先看下图:
图 3 | 智能体技能的七大设计模式,沿自治谱排列,从人类控制的元数据披露模式(P1)到完全自治的元技能模式(P6)。市场分发模式(P7)作为跨域分发机制,贯穿整个自治谱。虚线表示常用的模式组合方式。该图谱直观呈现了不同设计模式的自治程度差异与组合特性。元数据披露模式通过 “先摘要后加载” 节省上下文成本,代码化技能模式凭借确定性提升可验证性,而元技能模式则实现了技能的自主生成与迭代。市场分发模式作为跨域机制,可与其他模式灵活组合,既推动了技能生态的规模化增长,也带来了供应链安全等治理挑战。
| 模式 |
描述 |
| 模式 1:元数据驱动 (Metadata-Driven) |
技能通过简短“名片”(名称、描述)被发现,仅在确定使用时加载完整逻辑;类比图书馆检索——先看书名与简介,再决定是否借阅;显著节省上下文窗口。 |
| 模式 2:代码即技能 (Code-as-Skill) |
技能直接实现为可执行代码(如 Python 函数);具备绝对确定性与可测试性;但依赖环境/API,易因外部变更而失效(脆弱)。 |
| 模式 3:工作流强制 (Workflow Enforcement) |
强制智能体遵循预定义、不可跳过的流程(如 TDD:先写测试 → 再写代码 → 运行测试 → 失败则重来);以牺牲灵活性换取高可靠性。 |
| 模式 4:自进化技能库 (Self-Evolving Libraries) |
系统运行中自动评估行为,提炼成功经验为新技能或优化旧技能;类比“学徒给自己写教材”;SkillsBench 测试表明其平均性能反而下降。 |
| 模式 5:混合宏 (Hybrid NL+Code Macros) |
同一技能包含自然语言描述(处理边界情况与复杂推理)与可执行代码模块(执行确定性步骤);二者优势互补。 |
| 模式 6:元技能 (Meta-Skills) |
“创造技能的技能”,可分析用户行为并自动生成新技能以提升效率;风险在于错误元技能可能批量生成低质子技能。 |
| 模式 7:插件/市场分发 (Plugin/Marketplace) |
技能以 App 形式打包发布至应用商店,推动规模化与生态繁荣;但引入供应链安全风险——恶意插件可能窃取全部数据。 |
四、安全警钟:ClawHavoc 供应链攻击
技能生态的繁荣背后,潜藏着巨大的安全危机。
论文详细剖析了针对 OpenClaw 平台 ClawHub 技能市场的ClawHavoc 攻击,这是迄今为止规模最大的 Agentic Skills 供应链攻击。攻击者通过 12 个发布账户植入 1184 个恶意技能,36.8% 已发布技能含安全漏洞,热门技能遭伪造下载量刷榜。
攻击手段包括元数据投毒克隆合法技能名、植入恶意代码载荷、利用提示注入劫持 Agent 权限等,通过多设计模式漏洞突破防护。恶意技能窃取 LLM API 密钥、60 余种加密货币钱包私钥、浏览器凭证等敏感信息,波及 82 国 13.5 万 OpenClaw 实例。
表 6 | 特定模式的安全风险矩阵。该表格针对七大设计模式及两类跨模式威胁,逐一明确其主要安全风险、推荐缓解措施与风险等级。将各模式的攻击面与防护手段精准匹配,同时标注风险严重程度,其中市场分发模式为关键风险等级,为不同设计模式的安全治理提供了针对性的防护方案与优先级参考。
根据技能的核心危害、关键数据与具体攻击手法,具体分为三部分:
- 触目惊心的数据:在短短几周内,平台上涌现了超过1184 个恶意技能,超过三分之一的已发布技能至少含有一个安全漏洞。全球超过13.5 万个OpenClaw 实例因此暴露。
- 灾难性的后果:这些恶意技能会窃取你的LLM API 密钥(让你的钱包“流血”)、加密钱包密钥(盗取你的数字资产)、浏览器保存的密码,甚至 SSH 密钥。
- 攻击手法的“教科书”式演绎:
- 利用模式 1:通过克隆热门技能的名字和描述,在搜索结果中“李鬼”冒充“李逵”。
- 利用模式 2 和 5:在看似人畜无害的技能代码或文档中,藏入恶意指令,如反向 Shell、数据外泄脚本。
- 利用模式 1 的“C 投毒”:将技能的适用条件描述得极其宽泛,让它在各种无关场景下都可能被误调用,扩大了攻击范围。
ClawHavoc 事件给整个行业敲响了警钟:AI 技能的安全治理,已刻不容缓。仅仅依靠传统的病毒扫描远远不够,我们需要针对技能的元数据、适用条件、策略内容等每个组件进行专项的、深度的审计。
图 5 | 技能治理的信任层级威胁模型。四个嵌套的特权层级(T1-T4)构成同心圆式安全边界。红色箭头表示针对不同层级边界的攻击向量;绿色标签表示层级间的防御机制。该模型通过分层授权构建了渐进式安全防护体系。T1 仅暴露元数据,规避了执行风险;T2 限制为指令访问,需通过架构隔离防止权限滥用;T3 要求执行审批或沙箱约束,降低操作风险;T4 支持自主执行,但需预设权限边界与监控机制。模型清晰界定了各层级的攻击向量与防御手段,为技能的安全治理提供了可落地的分层方案,尤其适用于多场景技能部署。
五、核心实证:Curated Skills vs. 自生成技能
SkillsBench 基准测试提供了迄今为止最有力的证据,量化了技能质量对智能体性能的影响。
- Curated Skills(精心策划的技能)是“神队友”:使用专家设计的技能,智能体在各类任务上的成功率平均大幅提升了16.2 个百分点。尤其在医疗、制造等领域,提升幅度甚至超过 50%,详见下图 4。
- Self-Generated Skills(自生成技能)是“猪队友”:由智能体自己生成的技能,平均而言反而让成功率下降了1.3 个百分点。这说明,当前模型自己写的“操作手册”质量堪忧。,详见下图 4。
- 技能是“算力均衡器”:一个配备了高质量技能的小模型,其表现可以超越没有技能加持的大模型。这意味着,与其一味追求更大的模型,不如花心思构建一个好的技能库。
图 4 | 技能的组合与编排。任务通过嵌入检索或大语言模型介导的路由方式匹配技能。选中的技能会分层分解为子技能。虚线箭头表示触发重新检索或选择替代技能的故障恢复路径。该架构解决了复杂任务的技能协同问题。嵌入检索通过语义相似性快速筛选候选技能,大语言模型介导路由则提升了匹配灵活性,二者结合实现了效率与精准度的平衡。技能的层级分解的过程,模拟了强化学习中的选项框架,使复杂任务可拆解为可执行的子任务单元。故障恢复路径的设计则增强了系统鲁棒性,确保单一技能失效时任务仍能推进。
结语:迈向可靠、可验证的智能体未来
Agentic Skills 作为 LLM 智能体的“程序性记忆”,正从概念走向实践。它为 AI 提供了经验、流程和纪律,是实现可靠、可解释、可治理的自主智能体的关键一步。
从 ClawHavoc 攻击的血泪教训,到 SkillsBench 基准的量化证据,都清晰地指向同一个结论:技能的“质”,远比技能的“量”更重要。未来的研究,将聚焦于如何实现可验证的自主技能生成、如何对跨表示形式的技能进行形式化验证、以及如何构建一个能平衡激励与安全的技能市场治理体系。
表 7 | 基准测试与技能维度的映射关系。■表示主要评估维度,∼表示部分评估维度,空白表示未涉及。该表格建立了主流智能体基准测试与技能五大评估维度(正确性、鲁棒性等)的映射关系,明确各基准的评估侧重与覆盖范围。反映出当前基准测试缺乏对技能安全维度的系统性评估,且单一基准无法覆盖所有技能维度,为构建全面的技能评估体系指明了补全方向。
当 AI 学会内化经验,而非每次都“临时抱佛脚”,我们才真正向着通用人工智能的目标,迈出了坚实的一步。这种经验的沉淀与复用,不仅是构建更可靠人工智能的关键,也是任何技术领域实现知识积累与传承的普遍规律,就像开发者在 云栈社区 分享与讨论技术最佳实践一样。
发表于 昨天 06:53
|
查看: 3|
回复: 0
