Termin vereinbaren

SKILL.md: Wie KI-Agenten lernen — und sicher bleiben.

Der offene Standard hinter modernen KI-Agenten: Progressive Disclosure, der häufigste Fehler — und warum Agent Skills eine neue Angriffsfläche sind. Von den Grundlagen bis zur Governance nach ISO 42001 und EU AI Act.

Quellen: Anthropic — „Agent Skills“ als offener Standard (18. Dez. 2025) · B. Poudel — „The SKILL.md Pattern“ (Medium, Feb. 2026) · OWASP — Agentic Skills Top 10 (v1.0, 2026)

1PflichtdateiSKILL.md — der Rest ist optional
3EbenenProgressive Disclosure
5+Plattformenein offener Standard
10RisikenOWASP Agentic Skills Top 10
Grundlage

Was ist ein Agent Skill?

Kein Plugin. Kein API-Skript. Ein Skill ist wie ein Onboarding-Leitfaden für neue Kolleg:innen — einmal verpackt, automatisch genutzt.

Im Kern ist ein Skill nur ein Ordner. Die einzige Pflichtdatei ist SKILL.md — der Rest ist optional und wächst mit der Komplexität.

mein-skill/
SKILL.mdPflicht · Anweisungen + Metadaten
scripts/optional · ausführbarer Code
references/optional · Doku, bei Bedarf geladen
assets/optional · Vorlagen, Bilder, Fonts
Einordnung

MCP vs. Skills — das mentale Modell

MCP

Die Klempnerei

Definiert, wie der Agent mit Tools, APIs und Daten verbunden wird — welche Ressourcen und Aktionen überhaupt verfügbar sind.

Skills

Das Handbuch

Definiert, wie der Agent diese Tools Schritt für Schritt nutzt, um ein konkretes Ziel zu erreichen — das prozedurale Wissen.

Merksatz: MCP = wie das Modell mit Tools spricht. Skills = was diese Tools tatsächlich tun.

Das Kernprinzip

Progressive Disclosure

Inhalte werden nur geladen, wenn sie gebraucht werden — wie ein Handbuch: erst Inhaltsverzeichnis, dann Kapitel, dann Anhang.

DER TRIGGER

Ebene 1 · Metadaten

name + descriptionimmer geladen · ~Dutzende Tokens je Skill
DAS RUNBOOK

Ebene 2 · Anweisungen

voller SKILL.md-Bodybei Aktivierung · < 5.000 Tokens
DIE BIBLIOTHEK

Ebene 3 · Referenzen & Skripte

Dateien + ausführbarer Codeon-demand · quasi unbegrenzt

Leerlauf-Kosten: praktisch null. Skripte laufen, ohne je in den Kontext geladen zu werden — egal wie viel ein Skill bündelt.

Was wirklich zählt

Der häufigste Fehler: die Beschreibung

Die description ist nicht für Menschen. Sie ist die Trigger-Bedingung, mit der der Agent entscheidet, ob er den Skill überhaupt aktiviert.

[ Was der Skill tut ] + [ Wann — mit konkreten Trigger-Phrasen ]

Schwach„Helps with documents.“

Beschreibt das Was — aber nie das Wann.

Stark„Erstellt README.md. Nutzen, wenn der Nutzer ‚schreib ein README‘ oder ‚dokumentiere das Projekt‘ sagt.“

Was + Wann, mit konkreten Trigger-Phrasen.

name ≤ 64 Zeichendescription ≤ 1.024 ZeichenDatei exakt „SKILL.md“keine spitzen Klammern (Injection-Risiko)
Portabilität

Ein offener Standard — getragen von allen

Am 18. Dezember 2025 von Anthropic als offener Standard veröffentlicht. Binnen Wochen übernommen von:

OpenAI Codex & ChatGPTGoogle Gemini CLIGitHub CopilotCursorMicrosoft Agent Framework
„Die Datei ist der Vertrag. Die Plattform implementiert die Schnittstelle.“

Ein Skill, den Sie heute schreiben, ist über alle Plattformen portabel. < 50 → 500+ neue Skills pro Tag (Jan → Feb 2026).

Die andere Seite

Ein Skill ist Code + Anweisungen, die Ihr Agent ausführt. Damit wird jeder Skill zugleich eine neue Angriffsfläche — und ein neues Governance-Objekt.

Warum das zählt

Die Consent-Lücke

Ist ein Skill einmal freigegeben, erbt er still dauerhafte Rechte — ohne weitere Rückfrage: Dateien lesen und schreiben, Code nachladen, Netzwerkverbindungen öffnen.

„Von SKILL.md zur Shell in drei Zeilen Markdown.“ — Snyk

Persistenz: Skills können AGENTS.md / MEMORY.md / SOUL.md vergiften — und so sitzungsübergreifende Backdoors hinterlassen.

Die „Lethal Trifecta“

  • Private Daten — SSH-Keys, API-Credentials, Wallets, Browser-Daten
  • Fremde Inhalte — Skill-Anweisungen, Memory-Dateien, eingehende E-Mails
  • Externe Kommunikation — Netzwerk-Egress, Webhooks, curl-Aufrufe

Konvergieren alle drei in einem Skill, genügt eine versteckte Anweisung für stillen Datenabfluss. Die meisten Produktiv-Deployments erfüllen heute alle drei. (Simon Willison / Palo Alto Networks, 2026)

Evidenz

Die Lage ist real — Q1 2026

Agent Skills sind eine Software-Lieferkette — und sie steht bereits unter aktivem Beschuss.

3.984Skills auditiertSnyk ToxicSkills, Feb. 2026
36 %mit Sicherheitsmängeln · 13,4 % kritischSnyk ToxicSkills
76+bestätigte Schad-PayloadsCredential-Diebstahl, Backdoors, Exfiltration
1.184bösartige Skills in einer KampagneClawHavoc (Antiy CERT)

> 25 % von 30.000+ analysierten Skills enthalten mindestens eine Schwachstelle. Dieselbe Sorgfalt ist nötig wie bei npm, PyPI und Container-Registries.

Der Rahmen

OWASP Agentic Skills Top 10

Die zehn kritischsten Risiken der „Behavior Layer“ — OWASP-Incubator-Projekt, Version 1.0 (2026).

AST01

Malicious Skills

kritisch
AST02

Supply Chain Compromise

kritisch
AST03

Over-Privileged Skills

hoch
AST04

Insecure Metadata

hoch
AST05

Unsafe Deserialization

hoch
AST06

Weak Isolation

hoch
AST07

Update Drift

mittel
AST08

Poor Scanning

mittel
AST09

No Governance

mittel
AST10

Cross-Platform Reuse

mittel
Der GRC-Hebel

Skills treffen Ihre Governance

OWASP nennt GRC & Compliance ausdrücklich als Zielgruppe — mit der Kernaufgabe, Skill-Risiken auf etablierte Rahmenwerke zu mappen.

NIST AI RMF

govern · map · measure · manage

ISO/IEC 42001

KI-Managementsystem

EU AI Act

Dokumentation · Change-Control · Nachweise

OWASP AIVSS

LLM- & Agentic-Top-10

Skills werden Teil Ihres KI-Inventars, Ihrer Risikobewertung und Ihrer Nachweisführung.

Secure by Design

Von Risiko zu Kontrolle

AST01/02

Provenance & Signatur

ed25519 · content_hash · Merkle-Verifikation

AST03

Least Privilege

Allowlist statt „network: true“ — Identitätsdateien schützen

AST06

Isolation

Sandbox/Container als Default, Host-Modus nur opt-in

AST08

Scanning

semantisch + verhaltensbasiert, nicht nur Pattern-Matching

AST07

Pinning

unveränderliche Hashes statt Versionsbereiche

AST04

Ehrliche Metadaten

risk_tier L0 (sicher) bis L3 (destruktiv)

Der Betriebsrahmen

Der Skill-Governance-Lebenszyklus

Sechs Schritte, die aus einzelnen Skills einen auditierbaren Bestand machen.

  1. 1

    Inventarisieren

    Alle Skills über alle Plattformen erfassen.

  2. 2

    Prüfen

    Code & Anweisungen lesen und scannen.

  3. 3

    Freigeben

    Approval-Workflow, vertrauenswürdige Quellen.

  4. 4

    Einschränken

    Least-Privilege-Manifest erzwingen.

  5. 5

    Überwachen

    Datei-, Netz- & Memory-Aktivität auditieren.

  6. 6

    Auditieren

    Nachweise für ISO 42001 / EU AI Act.

Praxis

Erste Schritte für Ihr Team

Für Security & GRC

  • Skill-Inventar über alle Agenten-Plattformen erstellen
  • Approval-Workflow & Freigaberichtlinie etablieren
  • Audit-Logging für alle Skill-Aktionen aktivieren
  • Agentische Identitäten & Berechtigungen steuern
  • Security-Advisories abonnieren (Plattformen & Registries)

Für Skill-Autor:innen

  • Minimales Berechtigungs-Manifest (Least Privilege)
  • Skills signieren (ed25519) + content_hash angeben
  • Abhängigkeiten auf unveränderliche Hashes pinnen
  • Identitätsdateien schützen — kein Schreibzugriff
  • Risk-Tier & Scope ehrlich deklarieren
FAQ

Häufige Fragen

Was ist ein Agent Skill — und was ist SKILL.md?

Ein Agent Skill ist ein Ordner mit prozeduralem Wissen für KI-Agenten — wie ein Onboarding-Leitfaden für neue Kolleginnen und Kollegen: einmal verpackt, automatisch genutzt. Die einzige Pflichtdatei ist SKILL.md (Anweisungen + Metadaten); scripts/, references/ und assets/ sind optional und wachsen mit der Komplexität.

Worin unterscheiden sich Skills von MCP?

MCP ist die Klempnerei: Es definiert, wie der Agent mit Tools, APIs und Daten verbunden wird. Skills sind das Handbuch: Sie definieren, wie der Agent diese Tools Schritt für Schritt nutzt, um ein konkretes Ziel zu erreichen. Merksatz: MCP = wie das Modell mit Tools spricht. Skills = was diese Tools tatsächlich tun.

Warum löst mein Skill nicht aus?

Der häufigste Fehler liegt in der description: Sie ist nicht für Menschen, sondern die Trigger-Bedingung, mit der der Agent entscheidet, ob er den Skill aktiviert. Eine starke Beschreibung nennt das Was und das Wann — mit konkreten Trigger-Phrasen. „Helps with documents“ beschreibt nur das Was und triggert daher unzuverlässig.

Sind Agent Skills ein offener Standard?

Ja. Anthropic hat Agent Skills am 18. Dezember 2025 als offenen Standard veröffentlicht. Binnen Wochen übernahmen ihn unter anderem OpenAI (Codex & ChatGPT), Google (Gemini CLI), GitHub Copilot, Cursor und das Microsoft Agent Framework. Ein Skill, den Sie heute schreiben, ist über alle Plattformen portabel.

Welche Sicherheitsrisiken bringen Agent Skills mit?

Ein Skill ist Code plus Anweisungen, die Ihr Agent ausführt — also eine neue Angriffsfläche und Software-Lieferkette. Snyk fand in 3.984 auditierten Skills bei 36 % Sicherheitsmängel (13,4 % kritisch). Die OWASP Agentic Skills Top 10 systematisiert die Risiken, von Malicious Skills (AST01) bis Cross-Platform Reuse (AST10). Gefährlich wird es, wenn private Daten, fremde Inhalte und externe Kommunikation in einem Skill zusammenkommen — die „Lethal Trifecta“.

Wie werden Skills unternehmenstauglich?

Mit einem Governance-Lebenszyklus: inventarisieren, prüfen, freigeben, einschränken, überwachen, auditieren — plus technische Kontrollen wie Signaturen (ed25519), Least-Privilege-Manifeste, Sandbox-Isolation und Hash-Pinning. Skill-Risiken lassen sich auf ISO/IEC 42001, den EU AI Act, das NIST AI RMF und OWASP mappen und werden so Teil Ihres KI-Inventars und Ihrer Nachweisführung.

Lass uns sprechen

Agentische KI sicher und auditierbar machen.

Valeri Milke — CEO | ISO 27001 & ISO 42001 LA | IEC 62443 & SAE 21434 & CRA | AI Officer (AI Act) | NIS2 & DORA Expert | BSI IT-Grundschutz Praktiker | Betrieblicher Datenschutzbeauftragter (IHK)

Termin direkt buchen Beratung via Microsoft Teams
Valeri Milke, CEO von VamiSecAI-Driven IT-Security and Compliance Experts