SKILL.md: Wie KI-Agenten lernen — und sicher bleiben.
Der offene Standard hinter modernen KI-Agenten: Progressive Disclosure, der häufigste Fehler — und warum Agent Skills eine neue Angriffsfläche sind. Von den Grundlagen bis zur Governance nach ISO 42001 und EU AI Act.
Quellen: Anthropic — „Agent Skills“ als offener Standard (18. Dez. 2025) · B. Poudel — „The SKILL.md Pattern“ (Medium, Feb. 2026) · OWASP — Agentic Skills Top 10 (v1.0, 2026)
Was ist ein Agent Skill?
Kein Plugin. Kein API-Skript. Ein Skill ist wie ein Onboarding-Leitfaden für neue Kolleg:innen — einmal verpackt, automatisch genutzt.
Im Kern ist ein Skill nur ein Ordner. Die einzige Pflichtdatei ist SKILL.md — der Rest ist optional und wächst mit der Komplexität.
MCP vs. Skills — das mentale Modell
Die Klempnerei
Definiert, wie der Agent mit Tools, APIs und Daten verbunden wird — welche Ressourcen und Aktionen überhaupt verfügbar sind.
Das Handbuch
Definiert, wie der Agent diese Tools Schritt für Schritt nutzt, um ein konkretes Ziel zu erreichen — das prozedurale Wissen.
Merksatz: MCP = wie das Modell mit Tools spricht. Skills = was diese Tools tatsächlich tun.
Progressive Disclosure
Inhalte werden nur geladen, wenn sie gebraucht werden — wie ein Handbuch: erst Inhaltsverzeichnis, dann Kapitel, dann Anhang.
Ebene 1 · Metadaten
name + descriptionimmer geladen · ~Dutzende Tokens je SkillEbene 2 · Anweisungen
voller SKILL.md-Bodybei Aktivierung · < 5.000 TokensEbene 3 · Referenzen & Skripte
Dateien + ausführbarer Codeon-demand · quasi unbegrenztLeerlauf-Kosten: praktisch null. Skripte laufen, ohne je in den Kontext geladen zu werden — egal wie viel ein Skill bündelt.
Der häufigste Fehler: die Beschreibung
Die description ist nicht für Menschen. Sie ist die Trigger-Bedingung, mit der der Agent entscheidet, ob er den Skill überhaupt aktiviert.
[ Was der Skill tut ] + [ Wann — mit konkreten Trigger-Phrasen ]
„Helps with documents.“Beschreibt das Was — aber nie das Wann.
„Erstellt README.md. Nutzen, wenn der Nutzer ‚schreib ein README‘ oder ‚dokumentiere das Projekt‘ sagt.“Was + Wann, mit konkreten Trigger-Phrasen.
Ein offener Standard — getragen von allen
Am 18. Dezember 2025 von Anthropic als offener Standard veröffentlicht. Binnen Wochen übernommen von:
„Die Datei ist der Vertrag. Die Plattform implementiert die Schnittstelle.“
Ein Skill, den Sie heute schreiben, ist über alle Plattformen portabel. < 50 → 500+ neue Skills pro Tag (Jan → Feb 2026).
Ein Skill ist Code + Anweisungen, die Ihr Agent ausführt. Damit wird jeder Skill zugleich eine neue Angriffsfläche — und ein neues Governance-Objekt.
Die Consent-Lücke
Ist ein Skill einmal freigegeben, erbt er still dauerhafte Rechte — ohne weitere Rückfrage: Dateien lesen und schreiben, Code nachladen, Netzwerkverbindungen öffnen.
„Von SKILL.md zur Shell in drei Zeilen Markdown.“ — Snyk
Persistenz: Skills können AGENTS.md / MEMORY.md / SOUL.md vergiften — und so sitzungsübergreifende Backdoors hinterlassen.
Die „Lethal Trifecta“
- Private Daten — SSH-Keys, API-Credentials, Wallets, Browser-Daten
- Fremde Inhalte — Skill-Anweisungen, Memory-Dateien, eingehende E-Mails
- Externe Kommunikation — Netzwerk-Egress, Webhooks, curl-Aufrufe
Konvergieren alle drei in einem Skill, genügt eine versteckte Anweisung für stillen Datenabfluss. Die meisten Produktiv-Deployments erfüllen heute alle drei. (Simon Willison / Palo Alto Networks, 2026)
Die Lage ist real — Q1 2026
Agent Skills sind eine Software-Lieferkette — und sie steht bereits unter aktivem Beschuss.
> 25 % von 30.000+ analysierten Skills enthalten mindestens eine Schwachstelle. Dieselbe Sorgfalt ist nötig wie bei npm, PyPI und Container-Registries.
OWASP Agentic Skills Top 10
Die zehn kritischsten Risiken der „Behavior Layer“ — OWASP-Incubator-Projekt, Version 1.0 (2026).
Malicious Skills
kritischSupply Chain Compromise
kritischOver-Privileged Skills
hochInsecure Metadata
hochUnsafe Deserialization
hochWeak Isolation
hochUpdate Drift
mittelPoor Scanning
mittelNo Governance
mittelCross-Platform Reuse
mittelSkills treffen Ihre Governance
OWASP nennt GRC & Compliance ausdrücklich als Zielgruppe — mit der Kernaufgabe, Skill-Risiken auf etablierte Rahmenwerke zu mappen.
NIST AI RMF
govern · map · measure · manage
ISO/IEC 42001
KI-Managementsystem
EU AI Act
Dokumentation · Change-Control · Nachweise
OWASP AIVSS
LLM- & Agentic-Top-10
Skills werden Teil Ihres KI-Inventars, Ihrer Risikobewertung und Ihrer Nachweisführung.
Von Risiko zu Kontrolle
Provenance & Signatur
ed25519 · content_hash · Merkle-Verifikation
Least Privilege
Allowlist statt „network: true“ — Identitätsdateien schützen
Isolation
Sandbox/Container als Default, Host-Modus nur opt-in
Scanning
semantisch + verhaltensbasiert, nicht nur Pattern-Matching
Pinning
unveränderliche Hashes statt Versionsbereiche
Ehrliche Metadaten
risk_tier L0 (sicher) bis L3 (destruktiv)
Der Skill-Governance-Lebenszyklus
Sechs Schritte, die aus einzelnen Skills einen auditierbaren Bestand machen.
- 1
Inventarisieren
Alle Skills über alle Plattformen erfassen.
- 2
Prüfen
Code & Anweisungen lesen und scannen.
- 3
Freigeben
Approval-Workflow, vertrauenswürdige Quellen.
- 4
Einschränken
Least-Privilege-Manifest erzwingen.
- 5
Überwachen
Datei-, Netz- & Memory-Aktivität auditieren.
- 6
Auditieren
Nachweise für ISO 42001 / EU AI Act.
Erste Schritte für Ihr Team
Für Security & GRC
- Skill-Inventar über alle Agenten-Plattformen erstellen
- Approval-Workflow & Freigaberichtlinie etablieren
- Audit-Logging für alle Skill-Aktionen aktivieren
- Agentische Identitäten & Berechtigungen steuern
- Security-Advisories abonnieren (Plattformen & Registries)
Für Skill-Autor:innen
- Minimales Berechtigungs-Manifest (Least Privilege)
- Skills signieren (ed25519) + content_hash angeben
- Abhängigkeiten auf unveränderliche Hashes pinnen
- Identitätsdateien schützen — kein Schreibzugriff
- Risk-Tier & Scope ehrlich deklarieren
Häufige Fragen
Was ist ein Agent Skill — und was ist SKILL.md?
Ein Agent Skill ist ein Ordner mit prozeduralem Wissen für KI-Agenten — wie ein Onboarding-Leitfaden für neue Kolleginnen und Kollegen: einmal verpackt, automatisch genutzt. Die einzige Pflichtdatei ist SKILL.md (Anweisungen + Metadaten); scripts/, references/ und assets/ sind optional und wachsen mit der Komplexität.
Worin unterscheiden sich Skills von MCP?
MCP ist die Klempnerei: Es definiert, wie der Agent mit Tools, APIs und Daten verbunden wird. Skills sind das Handbuch: Sie definieren, wie der Agent diese Tools Schritt für Schritt nutzt, um ein konkretes Ziel zu erreichen. Merksatz: MCP = wie das Modell mit Tools spricht. Skills = was diese Tools tatsächlich tun.
Warum löst mein Skill nicht aus?
Der häufigste Fehler liegt in der description: Sie ist nicht für Menschen, sondern die Trigger-Bedingung, mit der der Agent entscheidet, ob er den Skill aktiviert. Eine starke Beschreibung nennt das Was und das Wann — mit konkreten Trigger-Phrasen. „Helps with documents“ beschreibt nur das Was und triggert daher unzuverlässig.
Sind Agent Skills ein offener Standard?
Ja. Anthropic hat Agent Skills am 18. Dezember 2025 als offenen Standard veröffentlicht. Binnen Wochen übernahmen ihn unter anderem OpenAI (Codex & ChatGPT), Google (Gemini CLI), GitHub Copilot, Cursor und das Microsoft Agent Framework. Ein Skill, den Sie heute schreiben, ist über alle Plattformen portabel.
Welche Sicherheitsrisiken bringen Agent Skills mit?
Ein Skill ist Code plus Anweisungen, die Ihr Agent ausführt — also eine neue Angriffsfläche und Software-Lieferkette. Snyk fand in 3.984 auditierten Skills bei 36 % Sicherheitsmängel (13,4 % kritisch). Die OWASP Agentic Skills Top 10 systematisiert die Risiken, von Malicious Skills (AST01) bis Cross-Platform Reuse (AST10). Gefährlich wird es, wenn private Daten, fremde Inhalte und externe Kommunikation in einem Skill zusammenkommen — die „Lethal Trifecta“.
Wie werden Skills unternehmenstauglich?
Mit einem Governance-Lebenszyklus: inventarisieren, prüfen, freigeben, einschränken, überwachen, auditieren — plus technische Kontrollen wie Signaturen (ed25519), Least-Privilege-Manifeste, Sandbox-Isolation und Hash-Pinning. Skill-Risiken lassen sich auf ISO/IEC 42001, den EU AI Act, das NIST AI RMF und OWASP mappen und werden so Teil Ihres KI-Inventars und Ihrer Nachweisführung.
Agentische KI sicher und auditierbar machen.
Valeri Milke — CEO | ISO 27001 & ISO 42001 LA | IEC 62443 & SAE 21434 & CRA | AI Officer (AI Act) | NIS2 & DORA Expert | BSI IT-Grundschutz Praktiker | Betrieblicher Datenschutzbeauftragter (IHK)
AI-Driven IT-Security and Compliance Experts