SKILL.md : comment les agents IA apprennent — et restent sûrs.
Le standard ouvert derrière les agents IA modernes : Progressive Disclosure, l'erreur la plus fréquente — et pourquoi les Agent Skills constituent une nouvelle surface d'attaque. Des fondamentaux à la gouvernance selon ISO 42001 et l'EU AI Act.
Sources : Anthropic — « Agent Skills » comme standard ouvert (18 déc. 2025) · B. Poudel — « The SKILL.md Pattern » (Medium, fév. 2026) · OWASP — Agentic Skills Top 10 (v1.0, 2026)
Qu'est-ce qu'un Agent Skill ?
Ni plugin, ni script API. Un skill est comme un guide d'onboarding pour un nouveau collègue — préparé une fois, utilisé automatiquement.
Au fond, un skill n'est qu'un dossier. Le seul fichier obligatoire est SKILL.md — le reste est optionnel et évolue avec la complexité.
MCP vs Skills — le modèle mental
La plomberie
Définit comment l'agent est connecté aux outils, API et données — quelles ressources et actions sont disponibles.
Le manuel
Définit comment l'agent utilise ces outils, étape par étape, pour atteindre un objectif concret — le savoir procédural.
À retenir : MCP = comment le modèle parle aux outils. Skills = ce que ces outils font réellement.
Progressive Disclosure
Le contenu n'est chargé que lorsqu'il est nécessaire — comme un manuel : d'abord la table des matières, puis le chapitre, puis l'annexe.
Niveau 1 · Métadonnées
name + descriptiontoujours chargé · ~quelques dizaines de tokens par skillNiveau 2 · Instructions
corps complet du SKILL.mdà l'activation · < 5 000 tokensNiveau 3 · Références & scripts
fichiers + code exécutableà la demande · quasi illimitéCoût au repos : pratiquement nul. Les scripts s'exécutent sans jamais être chargés dans le contexte — quel que soit le volume embarqué par un skill.
L'erreur la plus fréquente : la description
La description n'est pas destinée aux humains. C'est la condition de déclenchement qui détermine si l'agent active le skill.
[ Ce que fait le skill ] + [ Quand — avec des phrases déclencheuses concrètes ]
« Helps with documents. »Décrit le quoi — mais jamais le quand.
« Crée README.md. Utiliser quand l'utilisateur dit “rédige un README” ou “documente le projet”. »Le quoi + le quand, avec des phrases déclencheuses concrètes.
Un standard ouvert — porté par tous
Publié par Anthropic comme standard ouvert le 18 décembre 2025. Adopté en quelques semaines par :
« Le fichier est le contrat. La plateforme implémente l'interface. »
Un skill écrit aujourd'hui est portable sur toutes les plateformes. < 50 → 500+ nouveaux skills par jour (janv. → fév. 2026).
Un skill, c'est du code + des instructions que votre agent exécute. Chaque skill devient ainsi à la fois une nouvelle surface d'attaque — et un nouvel objet de gouvernance.
La faille de consentement
Une fois approuvé, un skill hérite silencieusement de droits permanents — sans nouvelle demande : lire et écrire des fichiers, charger du code, ouvrir des connexions réseau.
« De SKILL.md au shell en trois lignes de Markdown. » — Snyk
Persistance : les skills peuvent empoisonner AGENTS.md / MEMORY.md / SOUL.md — et laisser ainsi des backdoors persistantes d'une session à l'autre.
La « Lethal Trifecta »
- Données privées — clés SSH, identifiants API, wallets, données de navigateur
- Contenus tiers — instructions de skills, fichiers memory, e-mails entrants
- Communication externe — egress réseau, webhooks, appels curl
Lorsque les trois convergent dans un même skill, une seule instruction cachée suffit pour une exfiltration silencieuse de données. La plupart des déploiements en production réunissent aujourd'hui les trois. (Simon Willison / Palo Alto Networks, 2026)
La menace est réelle — T1 2026
Les Agent Skills forment une chaîne d'approvisionnement logicielle — et elle est déjà sous attaque active.
> 25 % des 30 000+ skills analysés contiennent au moins une vulnérabilité. La même rigueur s'impose que pour npm, PyPI et les registres de conteneurs.
OWASP Agentic Skills Top 10
Les dix risques les plus critiques de la « Behavior Layer » — projet OWASP Incubator, version 1.0 (2026).
Malicious Skills
critiqueSupply Chain Compromise
critiqueOver-Privileged Skills
élevéInsecure Metadata
élevéUnsafe Deserialization
élevéWeak Isolation
élevéUpdate Drift
moyenPoor Scanning
moyenNo Governance
moyenCross-Platform Reuse
moyenLes skills touchent votre gouvernance
L'OWASP désigne explicitement GRC & Compliance comme public cible — avec pour mission centrale de mapper les risques liés aux skills sur les référentiels établis.
NIST AI RMF
govern · map · measure · manage
ISO/IEC 42001
système de management de l'IA
EU AI Act
documentation · change control · preuves
OWASP AIVSS
Top 10 LLM & Agentic
Les skills deviennent partie intégrante de votre inventaire IA, de votre évaluation des risques et de votre documentation probante.
Du risque au contrôle
Provenance & signature
ed25519 · content_hash · vérification Merkle
Moindre privilège
allowlist plutôt que « network: true » — protéger les fichiers d'identité
Isolation
sandbox/conteneur par défaut, mode hôte uniquement en opt-in
Scanning
sémantique + comportemental, pas seulement du pattern matching
Pinning
hashes immuables plutôt que plages de versions
Métadonnées honnêtes
risk_tier L0 (sûr) à L3 (destructif)
Gouvernance des skills — le cycle de vie
Six étapes qui transforment des skills isolés en un parc auditable.
- 1
Inventorier
Recenser tous les skills sur toutes les plateformes.
- 2
Examiner
Lire et scanner le code et les instructions.
- 3
Approuver
Workflow d'approbation, sources de confiance.
- 4
Restreindre
Imposer un manifeste de moindre privilège.
- 5
Surveiller
Auditer l'activité fichiers, réseau et memory.
- 6
Auditer
Preuves pour ISO 42001 / EU AI Act.
Premiers pas pour votre équipe
Pour la sécurité & la GRC
- Établir un inventaire des skills sur toutes les plateformes d'agents
- Mettre en place un workflow d'approbation et une politique de validation
- Activer la journalisation d'audit pour toutes les actions des skills
- Gouverner les identités et permissions agentiques
- S'abonner aux advisories de sécurité (plateformes & registres)
Pour les auteurs de skills
- Manifeste de permissions minimal (moindre privilège)
- Signer les skills (ed25519) + indiquer le content_hash
- Pinner les dépendances sur des hashes immuables
- Protéger les fichiers d'identité — aucun accès en écriture
- Déclarer honnêtement risk_tier et périmètre
Questions fréquentes
Qu'est-ce qu'un Agent Skill — et qu'est-ce que SKILL.md ?
Un Agent Skill est un dossier contenant du savoir procédural pour agents IA — comme un guide d'onboarding pour un nouveau collègue : préparé une fois, utilisé automatiquement. Le seul fichier obligatoire est SKILL.md (instructions + métadonnées) ; scripts/, references/ et assets/ sont optionnels et évoluent avec la complexité.
En quoi les Skills diffèrent-ils de MCP ?
MCP, c'est la plomberie : il définit comment l'agent est connecté aux outils, API et données. Les Skills sont le manuel : ils définissent comment l'agent utilise ces outils, étape par étape, pour atteindre un objectif concret. À retenir : MCP = comment le modèle parle aux outils. Skills = ce que ces outils font réellement.
Pourquoi mon skill ne se déclenche-t-il pas ?
L'erreur la plus fréquente se trouve dans la description : elle n'est pas destinée aux humains, c'est la condition de déclenchement qui détermine si l'agent active le skill. Une description forte précise le quoi et le quand — avec des phrases déclencheuses concrètes. « Helps with documents » ne décrit que le quoi et se déclenche donc de manière peu fiable.
Les Agent Skills sont-ils un standard ouvert ?
Oui. Anthropic a publié les Agent Skills comme standard ouvert le 18 décembre 2025. En quelques semaines, il a été adopté notamment par OpenAI (Codex & ChatGPT), Google (Gemini CLI), GitHub Copilot, Cursor et le Microsoft Agent Framework. Un skill écrit aujourd'hui est portable sur toutes les plateformes.
Quels risques de sécurité les Agent Skills entraînent-ils ?
Un skill, c'est du code plus des instructions que votre agent exécute — donc une nouvelle surface d'attaque et une chaîne d'approvisionnement logicielle. Sur 3 984 skills audités, Snyk a constaté des failles de sécurité dans 36 % des cas (13,4 % critiques). L'OWASP Agentic Skills Top 10 systématise ces risques, des Malicious Skills (AST01) au Cross-Platform Reuse (AST10). Le danger survient quand données privées, contenus tiers et communication externe se réunissent dans un même skill — la « Lethal Trifecta ».
Comment rendre les skills conformes aux exigences de l'entreprise ?
Avec un cycle de vie de gouvernance : inventorier, examiner, approuver, restreindre, surveiller, auditer — plus des contrôles techniques comme les signatures (ed25519), les manifestes de moindre privilège, l'isolation en sandbox et le pinning par hash. Les risques liés aux skills se mappent sur ISO/IEC 42001, l'EU AI Act, le NIST AI RMF et l'OWASP, et deviennent ainsi partie de votre inventaire IA et de votre documentation probante.
Rendre l'IA agentique sûre et auditable.
Valeri Milke — CEO | ISO 27001 & ISO 42001 LA | IEC 62443 & SAE 21434 & CRA | AI Officer (AI Act) | NIS2 & DORA Expert | BSI IT-Grundschutz Praktiker | Délégué à la protection des données (IHK)
AI-Driven IT-Security and Compliance Experts