Skills für Unternehmen

Dieser Leitfaden richtet sich an Unternehmensadministratoren und Architekten, die Agent Skills in einer Organisation verwalten müssen. Er behandelt, wie Skills im großen Maßstab geprüft, evaluiert, eingesetzt und verwaltet werden. Für Anleitungen zur Erstellung siehe Best Practices. Für Architekturdetails siehe die Skills-Übersicht.

Sicherheitsüberprüfung und Vetting

Der Einsatz von Skills in einem Unternehmen erfordert die Beantwortung von zwei unterschiedlichen Fragen:

Sind Skills generell sicher? Siehe den Abschnitt Sicherheitsüberlegungen in der Übersicht für plattformseitige Sicherheitsdetails.
Wie prüfe ich einen bestimmten Skill? Verwenden Sie die Risikobewertung und die Überprüfungs-Checkliste unten.

Risikostufen-Bewertung

Bewerten Sie jeden Skill anhand dieser Risikoindikatoren, bevor Sie die Bereitstellung genehmigen:

Risikoindikator	Worauf zu achten ist	Bedenkengrad
Code-Ausführung	Skripte im Skill-Verzeichnis (`.py`, `.sh`, `*.js`)	Hoch: Skripte laufen mit vollem Umgebungszugriff
Anweisungsmanipulation	Direktiven zum Ignorieren von Sicherheitsregeln, Verbergen von Aktionen vor Benutzern oder bedingtem Ändern von Claudes Verhalten	Hoch: kann Sicherheitskontrollen umgehen
MCP-Server-Referenzen	Anweisungen, die auf MCP-Tools verweisen (`ServerName:tool_name`)	Hoch: erweitert den Zugriff über den Skill selbst hinaus
Netzwerkzugriffsmuster	URLs, API-Endpunkte, `fetch`-, `curl`- oder `requests`-Aufrufe	Hoch: potenzieller Datenexfiltrationsvektor
Hartcodierte Anmeldedaten	API-Schlüssel, Token oder Passwörter in Skill-Dateien oder Skripten	Hoch: Geheimnisse in Git-Verlauf und Kontextfenster exponiert
Dateisystemzugriffsbereich	Pfade außerhalb des Skill-Verzeichnisses, breite Glob-Muster, Pfad-Traversal (`../`)	Mittel: kann unbeabsichtigte Daten abrufen
Tool-Aufrufe	Anweisungen, die Claude zur Verwendung von Bash, Dateioperationen oder anderen Tools anweisen	Mittel: überprüfen, welche Operationen durchgeführt werden

Überprüfungs-Checkliste

Bevor Sie einen Skill von einem Drittanbieter oder internen Mitwirkenden bereitstellen, führen Sie diese Schritte durch:

Lesen Sie alle Inhalte des Skill-Verzeichnisses. Überprüfen Sie SKILL.md, alle referenzierten Markdown-Dateien sowie alle gebündelten Skripte oder Ressourcen.
Überprüfen Sie, ob das Skriptverhalten dem angegebenen Zweck entspricht. Führen Sie Skripte in einer Sandbox-Umgebung aus und bestätigen Sie, dass die Ausgaben mit der Beschreibung des Skills übereinstimmen.
Prüfen Sie auf adversarielle Anweisungen. Suchen Sie nach Direktiven, die Claude anweisen, Sicherheitsregeln zu ignorieren, Aktionen vor Benutzern zu verbergen, Daten durch Antworten zu exfiltrieren oder das Verhalten basierend auf bestimmten Eingaben zu ändern.
Prüfen Sie auf externe URL-Abrufe oder Netzwerkaufrufe. Durchsuchen Sie Skripte und Anweisungen nach Netzwerkzugriffsmustern (http, requests.get, urllib, curl, fetch).
Stellen Sie sicher, dass keine hartcodierten Anmeldedaten vorhanden sind. Prüfen Sie auf API-Schlüssel, Token oder Passwörter in Skill-Dateien. Anmeldedaten sollten Umgebungsvariablen oder sichere Credential-Stores verwenden und niemals im Skill-Inhalt erscheinen.
Listen Sie alle Bash-Befehle, Dateioperationen und Tool-Referenzen auf. Berücksichtigen Sie das kombinierte Risiko, wenn ein Skill sowohl Dateilese- als auch Netzwerk-Tools verwendet.

Stellen Sie niemals Skills aus nicht vertrauenswürdigen Quellen ohne vollständige Prüfung bereit. Ein bösartiger Skill kann Claude anweisen, beliebigen Code auszuführen, auf sensible Dateien zuzugreifen oder Daten extern zu übertragen. Behandeln Sie die Skill-Installation mit der gleichen Sorgfalt wie die Installation von Software auf Produktionssystemen.

Evaluierung von Skills vor der Bereitstellung

Skills können die Agent-Performance beeinträchtigen, wenn sie falsch ausgelöst werden, mit anderen Skills in Konflikt geraten oder schlechte Anweisungen liefern. Verlangen Sie eine Evaluierung vor jeder Produktionsbereitstellung.

Was zu evaluieren ist

Legen Sie Genehmigungsstufen für diese Dimensionen fest, bevor Sie einen Skill bereitstellen:

Dimension	Was gemessen wird	Beispiel für einen Fehler
Auslösegenauigkeit	Aktiviert sich der Skill für die richtigen Anfragen und bleibt bei nicht verwandten inaktiv?	Skill wird bei jeder Tabellenerwähnung ausgelöst, auch wenn der Benutzer nur Daten besprechen möchte
Isolationsverhalten	Funktioniert der Skill allein korrekt?	Skill referenziert Dateien, die nicht in seinem Verzeichnis existieren
Koexistenz	Beeinträchtigt das Hinzufügen dieses Skills andere Skills?	Die Beschreibung des neuen Skills ist zu breit und übernimmt Auslöser von bestehenden Skills
Anweisungsbefolgung	Befolgt Claude die Anweisungen des Skills genau?	Claude überspringt Validierungsschritte oder verwendet falsche Bibliotheken
Ausgabequalität	Liefert der Skill korrekte, nützliche Ergebnisse?	Generierte Berichte haben Formatierungsfehler oder fehlende Daten

Evaluierungsanforderungen

Verlangen Sie von Skill-Autoren, Evaluierungssuiten mit 3–5 repräsentativen Anfragen pro Skill einzureichen, die Fälle abdecken, in denen der Skill ausgelöst werden sollte, nicht ausgelöst werden sollte und mehrdeutige Grenzfälle. Verlangen Sie Tests über die von Ihrer Organisation verwendeten Modelle (Haiku, Sonnet, Opus), da die Skill-Effektivität je nach Modell variiert.

Für detaillierte Anleitungen zum Erstellen von Evaluierungen siehe Evaluierung und Iteration in den Best Practices. Für allgemeine Evaluierungsmethodik siehe Testfälle entwickeln.

Verwendung von Evaluierungen für Lebenszyklusentscheidungen

Evaluierungsergebnisse signalisieren, wann Maßnahmen erforderlich sind:

Sinkende Auslösegenauigkeit: Aktualisieren Sie die Beschreibung oder Anweisungen des Skills
Koexistenzkonflikte: Konsolidieren Sie überlappende Skills oder schränken Sie Beschreibungen ein
Dauerhaft niedrige Ausgabequalität: Schreiben Sie Anweisungen neu oder fügen Sie Validierungsschritte hinzu
Anhaltende Fehler über Updates hinweg: Deprecaten Sie den Skill

Skill-Lebenszyklusmanagement

Planen
Identifizieren Sie Workflows, die repetitiv, fehleranfällig oder spezialisiertes Wissen erfordern. Ordnen Sie diese organisatorischen Rollen zu und bestimmen Sie, welche Kandidaten für Skills sind.
Erstellen und überprüfen
Stellen Sie sicher, dass der Skill-Autor die Best Practices befolgt. Verlangen Sie eine Sicherheitsüberprüfung anhand der Überprüfungs-Checkliste oben. Verlangen Sie eine Evaluierungssuite vor der Genehmigung. Etablieren Sie eine Aufgabentrennung: Skill-Autoren sollten nicht ihre eigenen Prüfer sein.
Testen
Verlangen Sie Evaluierungen in Isolation (Skill allein) und zusammen mit bestehenden Skills (Koexistenztest). Überprüfen Sie Auslösegenauigkeit, Ausgabequalität und das Fehlen von Regressionen in Ihrem aktiven Skill-Set, bevor Sie für die Produktion genehmigen.
Bereitstellen
Laden Sie über die Skills API für workspace-weiten Zugriff hoch. Siehe Skills mit der API verwenden für Upload- und Versionsverwaltung. Dokumentieren Sie den Skill in Ihrer internen Registry mit Zweck, Eigentümer und Version.
Überwachen
Verfolgen Sie Nutzungsmuster und sammeln Sie Feedback von Benutzern. Führen Sie Evaluierungen regelmäßig erneut durch, um Drift oder Regressionen zu erkennen, wenn sich Workflows und Modelle weiterentwickeln. Nutzungsanalysen sind derzeit nicht über die Skills API verfügbar. Implementieren Sie Logging auf Anwendungsebene, um zu verfolgen, welche Skills in Anfragen enthalten sind.
Iterieren oder deprecaten
Verlangen Sie, dass die vollständige Evaluierungssuite bestanden wird, bevor neue Versionen gefördert werden. Aktualisieren Sie Skills, wenn sich Workflows ändern oder Evaluierungswerte sinken. Deprecaten Sie Skills, wenn Evaluierungen dauerhaft fehlschlagen oder der Workflow eingestellt wird.

Skills im großen Maßstab organisieren

Abrufgrenzen

Als allgemeine Richtlinie sollten Sie die Anzahl der gleichzeitig geladenen Skills begrenzen, um eine zuverlässige Abrufgenauigkeit zu gewährleisten. Die Metadaten jedes Skills (Name und Beschreibung) konkurrieren um Aufmerksamkeit im System-Prompt. Bei zu vielen aktiven Skills kann Claude möglicherweise nicht den richtigen Skill auswählen oder relevante Skills ganz verpassen. Verwenden Sie Ihre Evaluierungssuite, um die Abrufgenauigkeit beim Hinzufügen von Skills zu messen, und hören Sie auf, wenn die Performance nachlässt.

Beachten Sie, dass API-Anfragen maximal 8 Skills pro Anfrage unterstützen (siehe Skills mit der API verwenden). Wenn eine Rolle mehr Skills erfordert, als eine einzelne Anfrage unterstützt, erwägen Sie, enge Skills in breitere zu konsolidieren oder Anfragen basierend auf dem Aufgabentyp an verschiedene Skill-Sets weiterzuleiten.

Spezifisch beginnen, später konsolidieren

Ermutigen Sie Teams, mit engen, workflow-spezifischen Skills zu beginnen, anstatt mit breiten, mehrzweckigen. Wenn sich Muster in Ihrer Organisation herausbilden, konsolidieren Sie verwandte Skills in rollenbasierte Bündel.

Verwenden Sie Evaluierungen, um zu entscheiden, wann konsolidiert werden soll. Führen Sie enge Skills nur dann in einen breiteren zusammen, wenn die Evaluierungen des konsolidierten Skills eine gleichwertige Performance im Vergleich zu den einzelnen Skills bestätigen, die er ersetzt.

Beispielentwicklung:

Start: formatting-sales-reports, querying-pipeline-data, updating-crm-records
Konsolidierung: sales-operations (wenn Evals gleichwertige Performance bestätigen)

Benennung und Katalogisierung

Verwenden Sie konsistente Namenskonventionen in Ihrer gesamten Organisation. Der Abschnitt Namenskonventionen in den Best Practices bietet Formatierungsanleitungen.

Führen Sie eine interne Registry für jeden Skill mit folgenden Informationen:

Zweck: Welchen Workflow der Skill unterstützt
Eigentümer: Team oder Person, die für die Wartung verantwortlich ist
Version: Aktuell bereitgestellte Version
Abhängigkeiten: Erforderliche MCP-Server, Pakete oder externe Dienste
Evaluierungsstatus: Letztes Evaluierungsdatum und Ergebnisse

Rollenbasierte Bündel

Gruppieren Sie Skills nach organisatorischer Rolle, um das aktive Skill-Set jedes Benutzers fokussiert zu halten:

Vertriebsteam: CRM-Operationen, Pipeline-Reporting, Angebotserstellung
Engineering: Code-Review, Deployment-Workflows, Incident Response
Finanzen: Berichtserstellung, Datenvalidierung, Prüfungsvorbereitung

Jedes rollenbasierte Bündel sollte nur die Skills enthalten, die für die täglichen Workflows dieser Rolle relevant sind.

Verteilung und Versionskontrolle

Quellcodeverwaltung

Speichern Sie Skill-Verzeichnisse in Git für Verlaufsverfolgung, Code-Review über Pull Requests und Rollback-Fähigkeit. Jedes Skill-Verzeichnis (das SKILL.md und alle gebündelten Dateien enthält) entspricht natürlich einem Git-verfolgten Ordner.

API-basierte Verteilung

Die Skills API bietet workspace-weite Verteilung. Über die API hochgeladene Skills sind für alle Workspace-Mitglieder verfügbar. Siehe Skills mit der API verwenden für Upload-, Versionierungs- und Verwaltungsendpunkte.

Versionierungsstrategie

Produktion: Fixieren Sie Skills auf bestimmte Versionen. Führen Sie die vollständige Evaluierungssuite aus, bevor Sie eine neue Version fördern. Behandeln Sie jedes Update als neue Bereitstellung, die eine vollständige Sicherheitsüberprüfung erfordert.
Entwicklung und Tests: Verwenden Sie die neuesten Versionen, um Änderungen vor der Produktionsförderung zu validieren.
Rollback-Plan: Behalten Sie die vorherige Version als Fallback. Wenn eine neue Version Evaluierungen in der Produktion nicht besteht, kehren Sie sofort zur letzten bekannten guten Version zurück.
Integritätsverifizierung: Berechnen Sie Prüfsummen überprüfter Skills und verifizieren Sie diese zum Bereitstellungszeitpunkt. Verwenden Sie signierte Commits in Ihrem Skill-Repository, um die Herkunft sicherzustellen.

Übergreifende Oberflächenüberlegungen

Benutzerdefinierte Skills werden nicht über Oberflächen hinweg synchronisiert. Über die API hochgeladene Skills sind nicht auf claude.ai oder in Claude Code verfügbar und umgekehrt. Jede Oberfläche erfordert separate Uploads und Verwaltung.

Pflegen Sie Skill-Quelldateien in Git als einzige Quelle der Wahrheit. Wenn Ihre Organisation Skills über mehrere Oberflächen hinweg bereitstellt, implementieren Sie Ihren eigenen Synchronisierungsprozess, um sie konsistent zu halten. Für vollständige Details siehe Verfügbarkeit über Oberflächen hinweg.

Nächste Schritte

Agent Skills Übersicht

Architektur- und Plattformdetails

Best Practices

Erstellungsanleitungen für Skill-Ersteller