# OpenAI Skills 完全指南:掌握 38 个技能让 AI 编码助手如虎添翼

在 AI 辅助开发的时代,开发者不再仅仅满足于 AI 生成简单的代码片段,而是希望它能够像一位拥有丰富经验的资深工程师一样,执行从部署应用到安全审计的复杂任务。

本文将深入解析 OpenAI Skills 仓库,这是一个包含 38 个技能的强大生态系统,专门用于扩展 Codex(OpenAI 的编码代理)的能力。我们将探讨这些技能如何工作、如何分类,以及如何通过它们将通用的 AI 助手转变为具备特定领域专业知识的“专家代理”。

图片来源:Unsplash

## 什么是 Agent Skills,为什么它们是 AI 交互的下一个里程碑?

核心问题:我们如何超越简单的“提示词”,让 AI 真正理解并执行复杂的任务流程?

Agent Skills 是包含指令、脚本和资源的文件夹,AI 代理可以发现并使用它们来执行特定任务。这是一种“编写一次,随处使用”的模式。

想象一下,传统的 AI 交互像是给一个聪明的实习生下达口头指令,虽然对方能听懂,但可能不知道你们公司的具体规范或某项繁琐工作的具体操作步骤。而 Agent Skills 则像是给这位实习生配备了一套详尽的“标准作业程序(SOP)”和“专用工具箱”。

### 技能的解剖学

每个技能都遵循统一的结构,这使得 Codex 能够高效地加载和理解它们:

  • SKILL.md:这是必需的主文件,包含了 YAML 前置元数据(名称、描述)和 Markdown 指令。它是技能的大脑。
  • scripts/:可执行脚本,可以是 Python、Bash 等任何语言。这是技能的双手。
  • references/:参考文档和资料。这是技能的知识库。
  • assets/:输出中使用的文件,如模板、图标等。这是技能的资源包。

### 技能如何被理解和执行?

Skills 使用一种称为“渐进式信息披露”的系统来高效管理上下文窗口,避免信息过载:

  1. 元数据层:技能的名称和描述始终在上下文中(约 100 字),让 Codex 知道这个技能的存在和基本用途。
  2. 指令层:当技能被触发时,SKILL.md 的主体内容才会被加载(通常小于 5k 字)。
  3. 资源层:脚本和其他资源仅在 Codex 确实需要执行特定操作时才会被调用。

>

反思与见解
从提示词工程到技能工程,这不仅是形式的改变,更是思维的转变。过去我们试图用自然语言描述所有细节,现在我们可以将代码、文档和工作流封装在技能中。这意味着 AI 的能力不再仅仅依赖于模型本身的训练数据,而是可以通过社区和企业的积累无限扩展。

## 38 个技能的版图:系统、精选与实验

核心问题:这 38 个技能是如何组织的,我该从哪里开始?

OpenAI Skills 仓库将技能组织在三个主要文件夹中,每个文件夹代表了不同的成熟度和适用场景。

类别 文件夹 数量 特点
系统技能 .system/ 2 核心功能,自动安装,管理生态
精选技能 .curated/ 31 经过验证的生产级技能,可直接用于工作
实验技能 .experimental/ 5 实验性功能,探索边界,需谨慎使用

下面我们将深入这些技能,看看它们在实际工作中能解决什么问题。

## 系统核心技能:构建与管理的基石

核心问题:如何创建属于我自己的技能,并轻松地管理它们?

系统技能在最新版本的 Codex 中自动安装,它们不直接处理业务逻辑,而是为整个技能生态系统提供基础支持。

### 1. skill-creator:技能创建指南

用途:为用户提供创建或更新技能的完整指导框架。

创建技能并非简单的文档编写,它需要遵循“简洁为王”的原则。该技能强调,Codex 本身已经非常智能,我们只需要添加它不具备的上下文信息。

设置自由度级别
skill-creator 提供了一个非常有价值的框架来设定指令的严格程度,这对保证 AI 执行的稳定性至关重要:

  • 高自由度:基于文本的指令。适用于多种方法都有效的场景,比如“写一篇技术博客”。这就像在开阔的草地上行走,有很多条路可以到达终点。
  • 中等自由度:伪代码或带参数的脚本。适用于存在首选模式但允许一定变化的场景。
  • 低自由度:特定脚本,几乎没有参数。适用于操作脆弱且容易出错、一致性至关重要的场景。这就像在悬崖边的独木桥上行走,必须严格遵守护栏和路径。

应用场景
如果你需要封装公司特定的代码审查逻辑,或者为团队创建一个标准化的 API 文档生成工作流,这个技能就是你的起点。

### 2. skill-installer:技能安装器

用途:从精选列表或 GitHub 仓库安装 Codex 技能。

这是你扩展 Codex 能力的入口。通过简单的命令,你可以将社区或开源的技能引入你的环境。

安装示例

# 安装精选技能(按名称)
$skill-installer gh-address-comments

# 安装实验性技能
$skill-installer install the create-plan skill from the .experimental folder

# 从 GitHub URL 安装
$skill-installer install https://github.com/openai/skills/tree/main/skills/.experimental/create-plan

>

注意:安装技能后,需要重启 Codex 以加载新技能。

## 精选技能:覆盖全生命周期的开发利器

核心问题:有哪些现成的技能可以立即提升我的开发、部署和设计效率?

精选技能是经过验证、适合生产环境使用的 31 个技能。我们可以将它们按功能领域分为几大类。

### 2.1 开发与调试类:从代码到测试的闭环

#### develop-web-game:Web 游戏开发

用途:使用 Playwright 自动化测试循环构建和迭代 Web 游戏。

开发游戏最大的难点在于“看不见的状态”。该技能定义了一个严格的自动化测试循环

  1. 实施小的变更。
  2. 运行 Playwright 测试脚本(模拟用户输入)。
  3. 检查截图和文本状态。
  4. 审查控制台错误。
  5. 迭代调整。

核心洞察:为了保证测试的确定性,该技能强烈建议实现 window.advanceTime(ms) 钩子,这样 Playwright 可以可靠地控制帧的推进,避免因时间差异导致的测试失败。

#### playwright:浏览器自动化

用途:通过命令行使用 Playwright CLI 自动化真实浏览器操作。

除了游戏开发,这个技能在常规的 Web 自动化中同样强大。它提供了一套标准的封装命令,让你能像操作终端一样操作浏览器。

核心命令示例

"$PWCLI" open https://example.com
"$PWCLI" snapshot
"$PWCLI" click e15
"$PWCLI" type "Playwright"
"$PWCLI" screenshot

#### gh-address-comments & gh-fix-ci:GitHub 工作流

这两个技能专门针对 GitHub 的协作流程。

  • gh-address-comments:处理 PR 审查评论。它会检查评论,编号并总结修复方案,询问用户选择要处理的评论,然后应用修复。这极大地简化了代码审查后的修改工作。
  • gh-fix-ci:修复 CI 失败。它能定位失败的 PR 检查,获取 GitHub Actions 日志,总结失败片段,并提出修复计划。

应用场景:当你打开 GitHub 看到红色的叉号,或者在 PR 中收到一堆 Review 意见时,这两个技能能帮你自动理清思路并执行修复。

### 2.2 部署与托管类:一键上云

这一类别包含多个云平台部署技能,支持快速将应用推送到生产环境。

#### vercel-deploy:Vercel 部署

用途:使用免认证的预览流程将应用即时部署到 Vercel。

它的工作原理非常精简:

  1. 将项目打包为 .tar.gz(自动排除 node_modules.git)。
  2. package.json 自动检测框架。
  3. 上传到部署服务。
  4. 返回预览 URL 和认领 URL。

这对于快速分享原型或进行预览非常有用,无需复杂的配置。

#### cloudflare-deploy:Cloudflare 部署

用途:使用 Workers、Pages 等服务部署到 Cloudflare 平台。

Cloudflare 的产品线非常丰富,该技能提供了一个详细的决策树来帮助开发者选择正确的产品。这不仅是部署工具,更是一个架构顾问。

  • 需要运行代码? 它会引导你选择 Workers(边缘函数)、Pages(全栈应用)、Durable Objects(有状态协调)等。
  • 需要存储数据? 它会推荐 KV(键值)、D1(SQLite)、R2(对象存储)或 Vectorize(向量数据库)。
  • 需要 AI/ML? 它指向 Workers AI 或 Vectorize。

>

反思与见解
部署技能的进化标志着 DevOps 的门槛正在降低。过去我们需要编写复杂的 YAML 文件或配置 CI/CD 管道,现在通过描述性指令和封装的脚本,AI 可以直接理解“我想把这个 Node.js 应用部署到 Cloudflare 的边缘网络”这一意图,并自动选择最合适的计算资源(如 Workers)和存储方案(如 D1)。

### 2.3 文档与内容类:打破格式的壁垒

核心问题:如何让 AI 准确处理排版复杂的文档,而不仅仅是提取纯文本?

#### doc:DOCX 文档处理

用途:读取、创建或编辑 .docx 文档,特别关注格式和布局保真度。

处理 Word 文档最大的痛点是格式错乱。该技能制定了严格的质量期望:避免文本裁剪、重叠,确保表格和图表清晰可辨。

工作流程

  1. 优先进行视觉审查(使用 sofficepdftoppm 将 DOCX 转为 PDF 再转为 PNG 查看)。
  2. 使用 python-docx 进行编辑。
  3. 每次重要更改后重新渲染并检查。

#### pdf:PDF 处理

用途:读取、创建或审查 PDF 文件。

推荐工具链:

  • 生成:reportlab
  • 提取:pdfplumberpypdf(仅用于文本)。
  • 视觉检查:pdftoppm(渲染为 PNG)。

#### jupyter-notebook & spreadsheet:数据与实验

这两个技能分别针对数据科学和分析场景。

  • jupyter-notebook:创建清洁、可重现的笔记本,分为实验探索和教学演练两种模式。
  • spreadsheet:使用 openpyxlpandas 处理 Excel 文件,优先保留原生格式和图表。

### 2.4 设计与视觉类:从像素到代码

核心问题:如何实现设计与开发的无缝衔接,甚至生成多媒体内容?

#### figma & figma-implement-design:Figma 集成

这是设计转代码的黄金搭档。

  • figma:使用 Figma MCP 服务器获取设计上下文。
  • figma-implement-design:专门用于实现 1:1 视觉保真度的代码。

必需工作流程

  1. 获取设计上下文(结构化数据)。
  2. 获取视觉参考(截图)。
  3. 下载所需资产(图标、字体)。
  4. 转换为项目约定的代码框架。
  5. 实现并对照 Figma 验证。

应用场景:设计师给出一个 Figma 链接,Codex 可以自动分析组件结构、颜色变量,并生成对应的 React/Tailwind 代码,甚至处理响应式布局。

#### imagegen, sora, speech, transcribe:多媒体生成与处理

这组技能展示了 AI 在多模态方面的能力。

  • imagegen:通过 OpenAI Image API 生成或编辑图像。支持概念艺术、背景移除等。默认使用 gpt-image-1.5 模型。
  • sora:视频生成。它包含一个决策树:有视频 ID 且需要更改则“混音”;需要多个提示则“批处理创建”。
  • speech:文本转语音。默认模型 gpt-4o-mini-tts-2025-12-15,支持批量生成。
  • transcribe:音频转录。支持说话人分离,使用 gpt-4o-transcribe-diarize 模型可以区分不同说话人。

### 2.5 项目管理类:连接开发与业务

核心问题:如何将代码变更自动关联到项目和任务管理系统中?

#### linear:Linear 问题管理

用途:在 Linear 中管理问题、项目和团队工作流程。

它提供了一套完整的工具来操作 Linear API:list_issues, create_issue, update_issue 等。

实用工作流程示例

  • Sprint 规划:审查开放问题,按优先级选取,并创建新的 Cycle。
  • Bug 分类:列出关键 Bug,按用户影响排名,并移动到“进行中”。
  • 发布规划:创建包含里程碑的项目,并生成带有估算的 Issue。

#### notion-knowledge-capture:Notion 知识捕获

用途:将对话和决策捕获到结构化的 Notion 页面中。

这解决了“聊完就忘”的问题。工作流包括:明确捕获内容(决策、FAQ)-> 识别数据库模板 -> 提取上下文 -> 创建草稿并链接。

此外,还有针对会议准备 (notion-meeting-intelligence)、研究文档 (notion-research-documentation) 和规格实现 (notion-spec-to-implementation) 的专用技能。

### 2.6 安全类:将安全融入开发流程

核心问题:如何在不牺牲开发速度的前提下,自动化安全审计和威胁建模?

#### security-best-practices:安全最佳实践

用途:执行特定语言和框架的安全最佳实践审查。

它有三种操作模式:

  1. 主要模式:从此刻开始编写默认安全的代码。
  2. 次要模式:在编写代码时被动检测漏洞。
  3. 报告模式:生成全面的安全报告。

#### security-threat-model:安全威胁建模

用途:基于仓库的威胁建模,列举信任边界、资产、攻击者能力等。

这是一个非常高级的技能,包含 8 个步骤的严谨工作流:

  1. 范围和提取系统模型。
  2. 推导边界、资产和入口点。
  3. 校准资产和攻击者能力。
  4. 列举威胁作为滥用路径。
  5. 使用明确的可能性和影响推理进行优先级排序。
  6. 与用户验证服务上下文和假设。
  7. 推荐缓解措施。
  8. 运行质量检查。

应用场景:在开发新的支付接口或用户认证系统时,使用此技能可以自动生成一份威胁建模文档,帮助团队在编码前识别潜在风险。

>

反思与见解
安全技能的引入是 DevSecOps 自动化的重要一步。通常,威胁建模和安全审计是耗时且需要专家知识的任务。通过将安全专家的知识编码为 Skill,普通开发团队在编码阶段就能获得实时的安全指导,这比事后审计要有效得多。

## 实验性技能:探索未来的工作流

核心问题:还有哪些前沿功能正在测试中,它们将如何改变我们的工作方式?

实验性技能包含 5 个功能,代表了 OpenAI 对未来 AI 工作流的思考。

### 3.1 create-plan:创建计划

用途:当用户明确要求与编码任务相关的计划时创建简洁计划。

这是一个非常实用的技能,特别是在开始复杂项目前。它强制执行以下流程:

  1. 快速扫描上下文(README、文档)。
  2. 仅在阻塞时询问后续问题(最多 1-2 个)。
  3. 使用模板创建计划(包含描述、范围、行动项清单、开放问题)。
  4. 不输出任何元说明,仅输出计划

这种“只做不说”的风格非常符合高效开发的需求。

### 3.2 wrapped:Codex Wrapped 使用回顾

用途:从本地 Codex 日志生成使用回顾报告。

类似 Spotify 的年度回顾,它可以统计过去 30 天、7 天的使用情况以及全时间专注小时数。这对于个人开发者了解自己的 AI 辅助编程习惯非常有帮助。

### 3.3 GitLab 与测试相关技能

  • gitlab-address-comments:对应 GitHub 版本,处理 GitLab MR 评论。
  • codex-readiness-unit-test & codex-readiness-integration-test:用于验证代理执行质量的多阶段测试。

## 技能安装与实战指南

核心问题:我该如何在自己的环境中安装并开始使用这些技能?

### 安装精选技能

如果你在 Codex 中想要使用某个功能,可以直接调用安装器。例如,你想处理 GitHub PR 评论:

$skill-installer gh-address-comments

### 安装实验性技能

实验性技能需要明确指定来源。例如,安装 create-plan 技能:

$skill-installer install the create-plan skill from the .experimental folder

或者直接通过 GitHub URL 安装:

$skill-installer install https://github.com/openai/skills/tree/main/skills/.experimental/create-plan

### 关键步骤:重启

切记:安装技能后,必须重启 Codex 才能加载新技能。 这一步常被遗忘,导致技能无法生效。

## 总结与行动清单

OpenAI Skills 不仅仅是一堆脚本,它是一套将人类专业知识和工作流“固化”到 AI 代理中的系统。通过系统技能、精选技能和实验技能的配合,我们可以构建一个从需求分析、编码、测试、部署到维护的全自动化闭环。

实用摘要 / 操作清单

  1. 理解结构:记住 Skill = 指令 + 脚本 + 资源。
  2. 安装工具:确保你的 Codex 环境中已安装 skill-installer
  3. 尝试部署:使用 vercel-deploynetlify-deploy 快速部署一个 demo。
  4. 优化设计流:配置 figma MCP,尝试使用 figma-implement-design 还原一个组件。
  5. 强化安全:在下一个敏感项目中,运行 security-threat-model 进行风险评估。
  6. 规划先行:在大型任务开始前,使用 create-plan 生成行动清单。

### 一页速览

技能类别 代表技能 核心价值
系统 skill-creator 赋能用户自定义工作流
开发 develop-web-game, playwright 自动化测试与浏览器控制
部署 cloudflare-deploy, vercel-deploy 零配置或多产品决策支持的云部署
文档 doc, pdf 保持格式的文档处理
设计 figma-implement-design, imagegen 像素级还原与多媒体生成
管理 linear, notion-knowledge-capture 连接代码与项目管理的桥梁
安全 security-threat-model 左移的安全审计与威胁建模
实验 create-plan, wrapped 任务规划与使用数据分析

### 常见问题 (FAQ)

  1. 问:安装技能后找不到怎么办?
    答:请检查是否已经重启了 Codex。技能加载通常需要在重启后生效。

  2. 问:我可以修改已安装的技能吗?
    答:可以。技能本质上是文件夹中的文件,你可以直接修改 SKILL.mdscripts/ 中的脚本来定制行为。

  3. 问:实验性技能稳定吗?
    答:实验性技能(.experimental)仍在开发或测试阶段,可能会发生变化,建议在非关键任务中谨慎使用。

  4. 问:技能支持私有仓库吗?
    答:skill-installer 支持从公共或私有 GitHub 仓库安装技能,只要 Codex 有相应的访问权限。

  5. 问:如何创建自己的技能?
    答:使用系统自带的 skill-creator 技能,它会提供最佳实践、模板和验证工具来指导你创建符合规范的技能。

  6. 问:技能会消耗额外的 Token 吗?
    答:会。根据渐进式披露原则,技能的指令和引用的资源在被加载时会占用上下文窗口。

  7. 问:一个项目可以同时激活多个技能吗?
    答:可以。Codex 会根据当前任务的上下文自动发现并调用相关的技能。

  8. 问:技能只适用于 OpenAI 的 Codex 吗?
    答:虽然该仓库是为 Codex 设计的,但其“指令+脚本”的架构理念可以被其他 AI 代理框架借鉴或适配,但目前兼容性主要针对 Codex。