Prendre rendez-vous

SKILL.md : comment les agents IA apprennent — et restent sûrs.

Le standard ouvert derrière les agents IA modernes : Progressive Disclosure, l'erreur la plus fréquente — et pourquoi les Agent Skills constituent une nouvelle surface d'attaque. Des fondamentaux à la gouvernance selon ISO 42001 et l'EU AI Act.

Sources : Anthropic — « Agent Skills » comme standard ouvert (18 déc. 2025) · B. Poudel — « The SKILL.md Pattern » (Medium, fév. 2026) · OWASP — Agentic Skills Top 10 (v1.0, 2026)

1Fichier obligatoireSKILL.md — le reste est optionnel
3NiveauxProgressive Disclosure
5+Plateformesun standard ouvert
10RisquesOWASP Agentic Skills Top 10
Fondamentaux

Qu'est-ce qu'un Agent Skill ?

Ni plugin, ni script API. Un skill est comme un guide d'onboarding pour un nouveau collègue — préparé une fois, utilisé automatiquement.

Au fond, un skill n'est qu'un dossier. Le seul fichier obligatoire est SKILL.md — le reste est optionnel et évolue avec la complexité.

mon-skill/
SKILL.mdobligatoire · instructions + métadonnées
scripts/optionnel · code exécutable
references/optionnel · documentation, chargée au besoin
assets/optionnel · modèles, images, polices
Positionnement

MCP vs Skills — le modèle mental

MCP

La plomberie

Définit comment l'agent est connecté aux outils, API et données — quelles ressources et actions sont disponibles.

Skills

Le manuel

Définit comment l'agent utilise ces outils, étape par étape, pour atteindre un objectif concret — le savoir procédural.

À retenir : MCP = comment le modèle parle aux outils. Skills = ce que ces outils font réellement.

Le principe clé

Progressive Disclosure

Le contenu n'est chargé que lorsqu'il est nécessaire — comme un manuel : d'abord la table des matières, puis le chapitre, puis l'annexe.

LE DÉCLENCHEUR

Niveau 1 · Métadonnées

name + descriptiontoujours chargé · ~quelques dizaines de tokens par skill
LE RUNBOOK

Niveau 2 · Instructions

corps complet du SKILL.mdà l'activation · < 5 000 tokens
LA BIBLIOTHÈQUE

Niveau 3 · Références & scripts

fichiers + code exécutableà la demande · quasi illimité

Coût au repos : pratiquement nul. Les scripts s'exécutent sans jamais être chargés dans le contexte — quel que soit le volume embarqué par un skill.

Ce qui compte vraiment

L'erreur la plus fréquente : la description

La description n'est pas destinée aux humains. C'est la condition de déclenchement qui détermine si l'agent active le skill.

[ Ce que fait le skill ] + [ Quand — avec des phrases déclencheuses concrètes ]

Faible« Helps with documents. »

Décrit le quoi — mais jamais le quand.

Forte« Crée README.md. Utiliser quand l'utilisateur dit “rédige un README” ou “documente le projet”. »

Le quoi + le quand, avec des phrases déclencheuses concrètes.

name ≤ 64 caractèresdescription ≤ 1 024 caractèresfichier nommé exactement « SKILL.md »pas de chevrons (risque d'injection)
Portabilité

Un standard ouvert — porté par tous

Publié par Anthropic comme standard ouvert le 18 décembre 2025. Adopté en quelques semaines par :

OpenAI Codex & ChatGPTGoogle Gemini CLIGitHub CopilotCursorMicrosoft Agent Framework
« Le fichier est le contrat. La plateforme implémente l'interface. »

Un skill écrit aujourd'hui est portable sur toutes les plateformes. < 50 → 500+ nouveaux skills par jour (janv. → fév. 2026).

L'autre face

Un skill, c'est du code + des instructions que votre agent exécute. Chaque skill devient ainsi à la fois une nouvelle surface d'attaque — et un nouvel objet de gouvernance.

Pourquoi c'est important

La faille de consentement

Une fois approuvé, un skill hérite silencieusement de droits permanents — sans nouvelle demande : lire et écrire des fichiers, charger du code, ouvrir des connexions réseau.

« De SKILL.md au shell en trois lignes de Markdown. » — Snyk

Persistance : les skills peuvent empoisonner AGENTS.md / MEMORY.md / SOUL.md — et laisser ainsi des backdoors persistantes d'une session à l'autre.

La « Lethal Trifecta »

  • Données privées — clés SSH, identifiants API, wallets, données de navigateur
  • Contenus tiers — instructions de skills, fichiers memory, e-mails entrants
  • Communication externe — egress réseau, webhooks, appels curl

Lorsque les trois convergent dans un même skill, une seule instruction cachée suffit pour une exfiltration silencieuse de données. La plupart des déploiements en production réunissent aujourd'hui les trois. (Simon Willison / Palo Alto Networks, 2026)

Preuves

La menace est réelle — T1 2026

Les Agent Skills forment une chaîne d'approvisionnement logicielle — et elle est déjà sous attaque active.

3 984skills auditésSnyk ToxicSkills, fév. 2026
36 %avec des failles de sécurité · 13,4 % critiquesSnyk ToxicSkills
76+payloads malveillants confirmésvol d'identifiants, backdoors, exfiltration
1 184skills malveillants dans une seule campagneClawHavoc (Antiy CERT)

> 25 % des 30 000+ skills analysés contiennent au moins une vulnérabilité. La même rigueur s'impose que pour npm, PyPI et les registres de conteneurs.

Le cadre

OWASP Agentic Skills Top 10

Les dix risques les plus critiques de la « Behavior Layer » — projet OWASP Incubator, version 1.0 (2026).

AST01

Malicious Skills

critique
AST02

Supply Chain Compromise

critique
AST03

Over-Privileged Skills

élevé
AST04

Insecure Metadata

élevé
AST05

Unsafe Deserialization

élevé
AST06

Weak Isolation

élevé
AST07

Update Drift

moyen
AST08

Poor Scanning

moyen
AST09

No Governance

moyen
AST10

Cross-Platform Reuse

moyen
Le levier GRC

Les skills touchent votre gouvernance

L'OWASP désigne explicitement GRC & Compliance comme public cible — avec pour mission centrale de mapper les risques liés aux skills sur les référentiels établis.

NIST AI RMF

govern · map · measure · manage

ISO/IEC 42001

système de management de l'IA

EU AI Act

documentation · change control · preuves

OWASP AIVSS

Top 10 LLM & Agentic

Les skills deviennent partie intégrante de votre inventaire IA, de votre évaluation des risques et de votre documentation probante.

Secure by Design

Du risque au contrôle

AST01/02

Provenance & signature

ed25519 · content_hash · vérification Merkle

AST03

Moindre privilège

allowlist plutôt que « network: true » — protéger les fichiers d'identité

AST06

Isolation

sandbox/conteneur par défaut, mode hôte uniquement en opt-in

AST08

Scanning

sémantique + comportemental, pas seulement du pattern matching

AST07

Pinning

hashes immuables plutôt que plages de versions

AST04

Métadonnées honnêtes

risk_tier L0 (sûr) à L3 (destructif)

Le cadre opérationnel

Gouvernance des skills — le cycle de vie

Six étapes qui transforment des skills isolés en un parc auditable.

  1. 1

    Inventorier

    Recenser tous les skills sur toutes les plateformes.

  2. 2

    Examiner

    Lire et scanner le code et les instructions.

  3. 3

    Approuver

    Workflow d'approbation, sources de confiance.

  4. 4

    Restreindre

    Imposer un manifeste de moindre privilège.

  5. 5

    Surveiller

    Auditer l'activité fichiers, réseau et memory.

  6. 6

    Auditer

    Preuves pour ISO 42001 / EU AI Act.

En pratique

Premiers pas pour votre équipe

Pour la sécurité & la GRC

  • Établir un inventaire des skills sur toutes les plateformes d'agents
  • Mettre en place un workflow d'approbation et une politique de validation
  • Activer la journalisation d'audit pour toutes les actions des skills
  • Gouverner les identités et permissions agentiques
  • S'abonner aux advisories de sécurité (plateformes & registres)

Pour les auteurs de skills

  • Manifeste de permissions minimal (moindre privilège)
  • Signer les skills (ed25519) + indiquer le content_hash
  • Pinner les dépendances sur des hashes immuables
  • Protéger les fichiers d'identité — aucun accès en écriture
  • Déclarer honnêtement risk_tier et périmètre
FAQ

Questions fréquentes

Qu'est-ce qu'un Agent Skill — et qu'est-ce que SKILL.md ?

Un Agent Skill est un dossier contenant du savoir procédural pour agents IA — comme un guide d'onboarding pour un nouveau collègue : préparé une fois, utilisé automatiquement. Le seul fichier obligatoire est SKILL.md (instructions + métadonnées) ; scripts/, references/ et assets/ sont optionnels et évoluent avec la complexité.

En quoi les Skills diffèrent-ils de MCP ?

MCP, c'est la plomberie : il définit comment l'agent est connecté aux outils, API et données. Les Skills sont le manuel : ils définissent comment l'agent utilise ces outils, étape par étape, pour atteindre un objectif concret. À retenir : MCP = comment le modèle parle aux outils. Skills = ce que ces outils font réellement.

Pourquoi mon skill ne se déclenche-t-il pas ?

L'erreur la plus fréquente se trouve dans la description : elle n'est pas destinée aux humains, c'est la condition de déclenchement qui détermine si l'agent active le skill. Une description forte précise le quoi et le quand — avec des phrases déclencheuses concrètes. « Helps with documents » ne décrit que le quoi et se déclenche donc de manière peu fiable.

Les Agent Skills sont-ils un standard ouvert ?

Oui. Anthropic a publié les Agent Skills comme standard ouvert le 18 décembre 2025. En quelques semaines, il a été adopté notamment par OpenAI (Codex & ChatGPT), Google (Gemini CLI), GitHub Copilot, Cursor et le Microsoft Agent Framework. Un skill écrit aujourd'hui est portable sur toutes les plateformes.

Quels risques de sécurité les Agent Skills entraînent-ils ?

Un skill, c'est du code plus des instructions que votre agent exécute — donc une nouvelle surface d'attaque et une chaîne d'approvisionnement logicielle. Sur 3 984 skills audités, Snyk a constaté des failles de sécurité dans 36 % des cas (13,4 % critiques). L'OWASP Agentic Skills Top 10 systématise ces risques, des Malicious Skills (AST01) au Cross-Platform Reuse (AST10). Le danger survient quand données privées, contenus tiers et communication externe se réunissent dans un même skill — la « Lethal Trifecta ».

Comment rendre les skills conformes aux exigences de l'entreprise ?

Avec un cycle de vie de gouvernance : inventorier, examiner, approuver, restreindre, surveiller, auditer — plus des contrôles techniques comme les signatures (ed25519), les manifestes de moindre privilège, l'isolation en sandbox et le pinning par hash. Les risques liés aux skills se mappent sur ISO/IEC 42001, l'EU AI Act, le NIST AI RMF et l'OWASP, et deviennent ainsi partie de votre inventaire IA et de votre documentation probante.

Parlons-en

Rendre l'IA agentique sûre et auditable.

Valeri Milke — CEO | ISO 27001 & ISO 42001 LA | IEC 62443 & SAE 21434 & CRA | AI Officer (AI Act) | NIS2 & DORA Expert | BSI IT-Grundschutz Praktiker | Délégué à la protection des données (IHK)

Réserver un rendez-vous Consultation via Microsoft Teams
Valeri Milke, CEO de VamiSecAI-Driven IT-Security and Compliance Experts