Dieser Leitfaden richtet sich an Unternehmensadministratoren und -architekten, die Agent Skills organisationsweit steuern müssen. Er behandelt, wie du Skills im großen Maßstab prüfst, evaluierst, bereitstellst und verwaltest. Hinweise zur Erstellung findest du unter Best Practices. Details zur Architektur findest du in der Skills-Übersicht.
Die Bereitstellung von Skills in einem Unternehmen erfordert die Beantwortung zweier unterschiedlicher Fragen:
Bewerte jeden Skill anhand dieser Risikoindikatoren, bevor du die Bereitstellung genehmigst:
| Risikoindikator | Worauf zu achten ist | Bedenklichkeitsstufe |
|---|---|---|
| Code-Ausführung | Skripte im Skill-Verzeichnis (*.py, *.sh, *.js) | Hoch: Skripte laufen mit vollem Umgebungszugriff |
| Anweisungsmanipulation | Direktiven, Sicherheitsregeln zu ignorieren, Aktionen vor Nutzern zu verbergen oder Claudes Verhalten bedingt zu ändern | Hoch: kann Sicherheitskontrollen umgehen |
| MCP-Server-Referenzen | Anweisungen, die MCP-Tools referenzieren (ServerName:tool_name) | Hoch: erweitert den Zugriff über den Skill selbst hinaus |
| Netzwerkzugriffsmuster | URLs, API-Endpunkte, fetch-, curl- oder requests-Aufrufe | Hoch: potenzieller Vektor für Datenexfiltration |
| Hartcodierte Zugangsdaten | API-Keys, Tokens oder Passwörter in Skill-Dateien oder Skripten | Hoch: Secrets werden in Git-Historie und Kontextfenster offengelegt |
| Umfang des Dateisystemzugriffs | Pfade außerhalb des Skill-Verzeichnisses, breite Glob-Muster, Path Traversal (../) | Mittel: kann auf unbeabsichtigte Daten zugreifen |
| Tool-Aufrufe | Anweisungen, die Claude anweisen, Bash, Dateioperationen oder andere Tools zu verwenden | Mittel: prüfe, welche Operationen ausgeführt werden |
Bevor du einen Skill von einem Drittanbieter oder internen Mitwirkenden bereitstellst, führe diese Schritte durch:
http, requests.get, urllib, curl, fetch).Stelle niemals Skills aus nicht vertrauenswürdigen Quellen ohne vollständiges Audit bereit. Ein bösartiger Skill kann Claude anweisen, beliebigen Code auszuführen, auf sensible Dateien zuzugreifen oder Daten extern zu übertragen. Behandle die Skill-Installation mit derselben Sorgfalt wie die Installation von Software auf Produktionssystemen.
Skills können die Agent-Leistung beeinträchtigen, wenn sie falsch ausgelöst werden, mit anderen Skills in Konflikt stehen oder schlechte Anweisungen liefern. Verlange eine Evaluierung vor jeder Produktionsbereitstellung.
Etabliere Freigabekriterien für diese Dimensionen, bevor du einen Skill bereitstellst:
| Dimension | Was gemessen wird | Beispielfehler |
|---|---|---|
| Auslösegenauigkeit | Wird der Skill bei den richtigen Anfragen aktiviert und bleibt bei nicht verwandten inaktiv? | Skill wird bei jeder Erwähnung von Tabellenkalkulationen ausgelöst, auch wenn der Nutzer nur über Daten sprechen möchte |
| Isolationsverhalten | Funktioniert der Skill eigenständig korrekt? | Skill referenziert Dateien, die in seinem Verzeichnis nicht existieren |
| Koexistenz | Beeinträchtigt das Hinzufügen dieses Skills andere Skills? | Die Beschreibung des neuen Skills ist zu breit und stiehlt Auslöser von bestehenden Skills |
| Anweisungsbefolgung | Befolgt Claude die Anweisungen des Skills genau? | Claude überspringt Validierungsschritte oder verwendet falsche Bibliotheken |
| Ausgabequalität | Liefert der Skill korrekte, nützliche Ergebnisse? | Generierte Berichte haben Formatierungsfehler oder fehlende Daten |
Verlange von Skill-Autoren, Evaluierungssuiten mit 3–5 repräsentativen Anfragen pro Skill einzureichen, die Fälle abdecken, in denen der Skill ausgelöst werden sollte, nicht ausgelöst werden sollte, sowie mehrdeutige Grenzfälle. Verlange Tests über alle Modelle hinweg, die deine Organisation verwendet (Haiku, Sonnet, Opus), da die Skill-Effektivität je nach Modell variiert.
Detaillierte Hinweise zum Erstellen von Evaluierungen findest du unter Evaluierung und Iteration in den Best Practices. Zur allgemeinen Evaluierungsmethodik siehe Testfälle entwickeln.
Evaluierungsergebnisse signalisieren, wann gehandelt werden muss:
Planen
Identifiziere Workflows, die repetitiv, fehleranfällig sind oder Spezialwissen erfordern. Ordne diese organisatorischen Rollen zu und bestimme, welche Kandidaten für Skills sind.
Erstellen und prüfen
Stelle sicher, dass der Skill-Autor die Best Practices befolgt. Verlange eine Sicherheitsprüfung anhand der Prüf-Checkliste oben. Verlange eine Evaluierungssuite vor der Genehmigung. Etabliere Aufgabentrennung: Skill-Autoren sollten nicht ihre eigenen Reviewer sein.
Testen
Verlange Evaluierungen isoliert (Skill allein) und zusammen mit bestehenden Skills (Koexistenztests). Verifiziere Auslösegenauigkeit, Ausgabequalität und das Fehlen von Regressionen über dein aktives Skill-Set hinweg, bevor du für die Produktion freigibst.
Bereitstellen
Lade über die Skills-API hoch für workspace-weiten Zugriff. Siehe Skills mit der API verwenden für Upload und Versionsverwaltung. Dokumentiere den Skill in deinem internen Register mit Zweck, Verantwortlichem und Version.
Überwachen
Verfolge Nutzungsmuster und sammle Feedback von Nutzern. Führe Evaluierungen regelmäßig erneut durch, um Drift oder Regressionen zu erkennen, wenn sich Workflows und Modelle weiterentwickeln. Nutzungsanalysen sind derzeit nicht über die Skills-API verfügbar. Implementiere Logging auf Anwendungsebene, um zu verfolgen, welche Skills in Anfragen enthalten sind.
Iterieren oder außer Betrieb setzen
Verlange, dass die vollständige Evaluierungssuite besteht, bevor neue Versionen freigegeben werden. Aktualisiere Skills, wenn sich Workflows ändern oder Evaluierungswerte sinken. Setze Skills außer Betrieb, wenn Evaluierungen durchgehend fehlschlagen oder der Workflow eingestellt wird.
Als allgemeine Richtlinie solltest du die Anzahl der gleichzeitig geladenen Skills begrenzen, um eine zuverlässige Recall-Genauigkeit zu gewährleisten. Die Metadaten jedes Skills (Name und Beschreibung) konkurrieren um Aufmerksamkeit im System-Prompt. Bei zu vielen aktiven Skills kann Claude den richtigen Skill nicht auswählen oder relevante Skills ganz übersehen. Verwende deine Evaluierungssuite, um die Recall-Genauigkeit zu messen, während du Skills hinzufügst, und höre auf hinzuzufügen, wenn die Leistung nachlässt.
Beachte, dass API-Anfragen maximal 8 Skills pro Anfrage unterstützen (siehe Skills mit der API verwenden). Wenn eine Rolle mehr Skills erfordert, als eine einzelne Anfrage unterstützt, erwäge, eng gefasste Skills zu breiteren zu konsolidieren oder Anfragen basierend auf dem Aufgabentyp an verschiedene Skill-Sets weiterzuleiten.
Ermutige Teams, mit eng gefassten, workflow-spezifischen Skills zu beginnen statt mit breiten Mehrzweck-Skills. Wenn sich Muster in deiner Organisation herausbilden, konsolidiere verwandte Skills zu rollenbasierten Bundles.
Verwende Evaluierungen, um zu entscheiden, wann konsolidiert werden soll. Führe eng gefasste Skills nur dann zu einem breiteren zusammen, wenn die Evaluierungen des konsolidierten Skills eine gleichwertige Leistung zu den einzelnen Skills bestätigen, die er ersetzt.
Beispielhafte Entwicklung:
formatting-sales-reports, querying-pipeline-data, updating-crm-recordssales-operations (wenn Evals gleichwertige Leistung bestätigen)Verwende einheitliche Namenskonventionen in deiner gesamten Organisation. Der Abschnitt Namenskonventionen in den Best Practices bietet Formatierungshinweise.
Pflege ein internes Register für jeden Skill mit:
Gruppiere Skills nach organisatorischer Rolle, um das aktive Skill-Set jedes Nutzers fokussiert zu halten:
Jedes rollenbasierte Bundle sollte nur die Skills enthalten, die für die täglichen Workflows dieser Rolle relevant sind.
Speichere Skill-Verzeichnisse in Git für Historienverfolgung, Code-Review über Pull Requests und Rollback-Fähigkeit. Jedes Skill-Verzeichnis (mit SKILL.md und allen gebündelten Dateien) lässt sich natürlich einem Git-verfolgten Ordner zuordnen.
Die Skills-API bietet workspace-bezogene Verteilung. Über die API hochgeladene Skills sind für alle Workspace-Mitglieder verfügbar. Siehe Skills mit der API verwenden für Upload-, Versionierungs- und Verwaltungsendpunkte.
Benutzerdefinierte Skills werden nicht über Oberflächen hinweg synchronisiert. Skills, die in die API hochgeladen wurden, sind nicht auf claude.ai oder in Claude Code verfügbar und umgekehrt. Jede Oberfläche erfordert separate Uploads und Verwaltung.
Pflege Skill-Quelldateien in Git als Single Source of Truth. Wenn deine Organisation Skills über mehrere Oberflächen hinweg bereitstellt, implementiere deinen eigenen Synchronisierungsprozess, um sie konsistent zu halten. Vollständige Details findest du unter oberflächenübergreifende Verfügbarkeit.
Architektur- und Plattformdetails
Erstellungshinweise für Skill-Autoren
Skills programmatisch hochladen und verwalten
Was this page helpful?