Compétences d'agent

Compétences pour l'entreprise

Gouvernance, examen de sécurité, évaluation et conseils organisationnels pour déployer les compétences d'agent à l'échelle de l'entreprise.

Ce guide est destiné aux administrateurs et architectes d'entreprise qui doivent gouverner les compétences d'agent dans une organisation. Il couvre comment examiner, évaluer, déployer et gérer les compétences à l'échelle. Pour des conseils de création, voir les meilleures pratiques. Pour les détails architecturaux, voir l'aperçu des compétences.

Examen de sécurité et vérification

Le déploiement de compétences en entreprise nécessite de répondre à deux questions distinctes :

Les compétences sont-elles sûres en général ? Voir la section considérations de sécurité dans l'aperçu pour les détails de sécurité au niveau de la plateforme.
Comment vérifier une compétence spécifique ? Utilisez l'évaluation des risques et la liste de contrôle d'examen ci-dessous.

Évaluation du niveau de risque

Évaluez chaque compétence par rapport à ces indicateurs de risque avant d'approuver le déploiement :

Indicateur de risque	Ce qu'il faut rechercher	Niveau de préoccupation
Exécution de code	Scripts dans le répertoire de compétences (`.py`, `.sh`, `*.js`)	Élevé : les scripts s'exécutent avec un accès complet à l'environnement
Manipulation d'instructions	Directives pour ignorer les règles de sécurité, masquer les actions aux utilisateurs ou modifier le comportement de Claude de manière conditionnelle	Élevé : peut contourner les contrôles de sécurité
Références de serveur MCP	Instructions référençant les outils MCP (`ServerName:tool_name`)	Élevé : étend l'accès au-delà de la compétence elle-même
Modèles d'accès réseau	URL, points de terminaison API, appels `fetch`, `curl` ou `requests`	Élevé : vecteur potentiel d'exfiltration de données
Identifiants codés en dur	Clés API, jetons ou mots de passe dans les fichiers de compétences ou les scripts	Élevé : secrets exposés dans l'historique Git et la fenêtre de contexte
Étendue d'accès au système de fichiers	Chemins en dehors du répertoire de compétences, modèles glob larges, traversée de répertoires (`../`)	Moyen : peut accéder à des données involontaires
Invocations d'outils	Instructions dirigeant Claude pour utiliser bash, les opérations de fichiers ou d'autres outils	Moyen : examiner les opérations effectuées

Liste de contrôle d'examen

Avant de déployer une compétence d'un tiers ou d'un contributeur interne, complétez ces étapes :

Lisez tout le contenu du répertoire de compétences. Examinez SKILL.md, tous les fichiers markdown référencés et tous les scripts ou ressources fournis.
Vérifiez que le comportement du script correspond à l'objectif déclaré. Exécutez les scripts dans un environnement isolé et confirmez que les résultats correspondent à la description de la compétence.
Vérifiez les instructions adversariales. Recherchez les directives qui indiquent à Claude d'ignorer les règles de sécurité, de masquer les actions aux utilisateurs, d'exfiltrer les données par les réponses ou de modifier le comportement en fonction d'entrées spécifiques.
Vérifiez les récupérations d'URL externes ou les appels réseau. Recherchez dans les scripts et les instructions les modèles d'accès réseau (http, requests.get, urllib, curl, fetch).
Vérifiez qu'il n'y a pas d'identifiants codés en dur. Vérifiez les clés API, les jetons ou les mots de passe dans les fichiers de compétences. Les identifiants doivent utiliser des variables d'environnement ou des magasins d'identifiants sécurisés, jamais apparaître dans le contenu de la compétence.
Identifiez les outils et commandes que la compétence demande à Claude d'invoquer. Listez toutes les commandes bash, les opérations de fichiers et les références d'outils. Considérez le risque combiné lorsqu'une compétence utilise à la fois les outils de lecture de fichiers et les outils réseau.
Confirmez les destinations de redirection. Si la compétence référence des URL externes, vérifiez qu'elles pointent vers les domaines attendus.
Vérifiez l'absence de modèles d'exfiltration de données. Recherchez les instructions qui lisent les données sensibles, puis les écrivent, les envoient ou les encodent pour une transmission externe, y compris par les réponses conversationnelles de Claude.

Ne déployez jamais de compétences provenant de sources non fiables sans un audit complet. Une compétence malveillante peut diriger Claude pour exécuter du code arbitraire, accéder à des fichiers sensibles ou transmettre des données en externe. Traitez l'installation de compétences avec la même rigueur que l'installation de logiciels sur les systèmes de production.

Évaluation des compétences avant le déploiement

Les compétences peuvent dégrader les performances de l'agent si elles se déclenchent incorrectement, entrent en conflit avec d'autres compétences ou fournissent des instructions médiocres. Exigez une évaluation avant tout déploiement en production.

Ce qu'il faut évaluer

Établissez des portes d'approbation pour ces dimensions avant de déployer une compétence :

Dimension	Ce qu'elle mesure	Exemple d'échec
Précision du déclenchement	La compétence s'active-t-elle pour les bonnes requêtes et reste-t-elle inactive pour les requêtes non liées ?	La compétence se déclenche à chaque mention de feuille de calcul, même lorsque l'utilisateur veut simplement discuter des données
Comportement d'isolation	La compétence fonctionne-t-elle correctement seule ?	La compétence référence des fichiers qui n'existent pas dans son répertoire
Coexistence	L'ajout de cette compétence dégrade-t-il d'autres compétences ?	La description de la nouvelle compétence est trop large, volant les déclenchements des compétences existantes
Suivi des instructions	Claude suit-il les instructions de la compétence avec précision ?	Claude saute les étapes de validation ou utilise les mauvaises bibliothèques
Qualité de sortie	La compétence produit-elle des résultats corrects et utiles ?	Les rapports générés ont des erreurs de formatage ou des données manquantes

Exigences d'évaluation

Exigez que les auteurs de compétences soumettent des suites d'évaluation avec 3-5 requêtes représentatives par compétence, couvrant les cas où la compétence doit se déclencher, ne doit pas se déclencher et les cas limites ambigus. Exigez des tests sur les modèles que votre organisation utilise (Haiku, Sonnet, Opus), car l'efficacité des compétences varie selon le modèle.

Pour des conseils détaillés sur la création d'évaluations, voir évaluation et itération dans les meilleures pratiques. Pour la méthodologie d'évaluation générale, voir développer des cas de test.

Utilisation des évaluations pour les décisions de cycle de vie

Les résultats d'évaluation signalent quand agir :

Précision de déclenchement déclinante : Mettez à jour la description ou les instructions de la compétence
Conflits de coexistence : Consolidez les compétences qui se chevauchent ou réduisez les descriptions
Qualité de sortie constamment faible : Réécrivez les instructions ou ajoutez des étapes de validation
Échecs persistants après les mises à jour : Déclassez la compétence

Gestion du cycle de vie des compétences

Planifier
Identifiez les flux de travail qui sont répétitifs, sujets aux erreurs ou qui nécessitent des connaissances spécialisées. Mappez-les aux rôles organisationnels et déterminez lesquels sont des candidats pour les compétences.
Créer et examiner
Assurez-vous que l'auteur de la compétence suit les meilleures pratiques. Exigez un examen de sécurité en utilisant la liste de contrôle d'examen ci-dessus. Exigez une suite d'évaluation avant approbation. Établissez une séparation des tâches : les auteurs de compétences ne doivent pas être leurs propres examinateurs.
Tester
Exigez des évaluations en isolation (compétence seule) et aux côtés des compétences existantes (test de coexistence). Vérifiez la précision du déclenchement, la qualité de sortie et l'absence de régressions dans votre ensemble de compétences actif avant d'approuver pour la production.
Déployer
Téléchargez via l'API des compétences pour un accès à l'échelle de l'espace de travail. Voir Utilisation des compétences avec l'API pour le téléchargement et la gestion des versions. Documentez la compétence dans votre registre interne avec l'objectif, le propriétaire et la version.
Surveiller
Suivez les modèles d'utilisation et collectez les commentaires des utilisateurs. Réexécutez les évaluations périodiquement pour détecter la dérive ou les régressions à mesure que les flux de travail et les modèles évoluent. Les analyses d'utilisation ne sont actuellement pas disponibles via l'API des compétences. Implémentez la journalisation au niveau de l'application pour suivre les compétences incluses dans les requêtes.
Itérer ou déclasser
Exigez que la suite d'évaluation complète réussisse avant de promouvoir les nouvelles versions. Mettez à jour les compétences lorsque les flux de travail changent ou que les scores d'évaluation déclinent. Déclassez les compétences lorsque les évaluations échouent constamment ou que le flux de travail est retiré.

Organisation des compétences à l'échelle

Limites de rappel

En règle générale, limitez le nombre de compétences chargées simultanément pour maintenir une précision de rappel fiable. Les métadonnées de chaque compétence (nom et description) concourent pour l'attention dans l'invite système. Avec trop de compétences actives, Claude peut ne pas sélectionner la bonne compétence ou en manquer des pertinentes. Utilisez votre suite d'évaluation pour mesurer la précision du rappel à mesure que vous ajoutez des compétences, et arrêtez d'ajouter lorsque les performances se dégradent.

Notez que les requêtes API supportent un maximum de 8 compétences par requête (voir Utilisation des compétences avec l'API). Si un rôle nécessite plus de compétences qu'une seule requête ne peut en supporter, envisagez de consolider les compétences étroites en compétences plus larges ou d'acheminer les requêtes vers différents ensembles de compétences en fonction du type de tâche.

Commencer spécifique, consolider plus tard

Encouragez les équipes à commencer par des compétences étroites et spécifiques aux flux de travail plutôt que par des compétences larges et polyvalentes. À mesure que des modèles émergent dans votre organisation, consolidez les compétences connexes en ensembles basés sur les rôles.

Utilisez les évaluations pour décider quand consolider. Fusionnez les compétences étroites en une compétence plus large uniquement lorsque les évaluations de la compétence consolidée confirment des performances équivalentes aux compétences individuelles qu'elle remplace.

Exemple de progression :

Début : formatting-sales-reports, querying-pipeline-data, updating-crm-records
Consolidation : sales-operations (lorsque les évaluations confirment des performances équivalentes)

Nommage et catalogage

Utilisez des conventions de nommage cohérentes dans votre organisation. La section conventions de nommage dans les meilleures pratiques fournit des conseils de formatage.

Maintenez un registre interne pour chaque compétence avec :

Objectif : Le flux de travail que la compétence supporte
Propriétaire : L'équipe ou l'individu responsable de la maintenance
Version : Version actuellement déployée
Dépendances : Serveurs MCP, packages ou services externes requis
Statut d'évaluation : Date et résultats de la dernière évaluation

Ensembles basés sur les rôles

Groupez les compétences par rôle organisationnel pour garder l'ensemble actif de compétences de chaque utilisateur concentré :

Équipe commerciale : Opérations CRM, rapports de pipeline, génération de propositions
Ingénierie : Examen de code, flux de travail de déploiement, réponse aux incidents
Finance : Génération de rapports, validation des données, préparation d'audit

Chaque ensemble basé sur les rôles ne doit contenir que les compétences pertinentes pour les flux de travail quotidiens de ce rôle.

Distribution et contrôle de version

Contrôle de source

Stockez les répertoires de compétences dans Git pour le suivi de l'historique, l'examen du code via les demandes de tirage et la capacité de restauration. Chaque répertoire de compétences (contenant SKILL.md et tous les fichiers fournis) correspond naturellement à un dossier suivi par Git.

Distribution basée sur l'API

L'API des compétences fournit une distribution à l'échelle de l'espace de travail. Les compétences téléchargées via l'API sont disponibles pour tous les membres de l'espace de travail. Voir Utilisation des compétences avec l'API pour les points de terminaison de téléchargement, de versioning et de gestion.

Stratégie de versioning

Production : Épinglez les compétences à des versions spécifiques. Exécutez la suite d'évaluation complète avant de promouvoir une nouvelle version. Traitez chaque mise à jour comme un nouveau déploiement nécessitant un examen de sécurité complet.
Développement et test : Utilisez les dernières versions pour valider les modifications avant la promotion en production.
Plan de restauration : Maintenez la version précédente comme secours. Si une nouvelle version échoue les évaluations en production, revenez immédiatement à la dernière version connue comme bonne.
Vérification d'intégrité : Calculez les sommes de contrôle des compétences examinées et vérifiez-les au moment du déploiement. Utilisez les commits signés dans votre référentiel de compétences pour assurer la provenance.

Considérations multi-surfaces

Les compétences personnalisées ne se synchronisent pas entre les surfaces. Les compétences téléchargées vers l'API ne sont pas disponibles sur claude.ai ou dans Claude Code, et vice versa. Chaque surface nécessite des téléchargements et une gestion séparés.

Maintenez les fichiers source de compétences dans Git comme source unique de vérité. Si votre organisation déploie des compétences sur plusieurs surfaces, implémentez votre propre processus de synchronisation pour les garder cohérentes. Pour les détails complets, voir disponibilité multi-surfaces.

Étapes suivantes

Aperçu des compétences d'agent

Détails architecturaux et de plateforme

Meilleures pratiques

Conseils de création pour les créateurs de compétences

Utilisation des compétences avec l'API

Téléchargez et gérez les compétences par programmation

Déploiement sécurisé des agents IA

Modèles de sécurité pour le déploiement d'agents

Was this page helpful?

Compétences d'agent

Compétences pour l'entreprise

Gouvernance, examen de sécurité, évaluation et conseils organisationnels pour déployer les compétences d'agent à l'échelle de l'entreprise.

Examen de sécurité et vérification

Le déploiement de compétences en entreprise nécessite de répondre à deux questions distinctes :

Les compétences sont-elles sûres en général ? Voir la section considérations de sécurité dans l'aperçu pour les détails de sécurité au niveau de la plateforme.
Comment vérifier une compétence spécifique ? Utilisez l'évaluation des risques et la liste de contrôle d'examen ci-dessous.

Évaluation du niveau de risque

Évaluez chaque compétence par rapport à ces indicateurs de risque avant d'approuver le déploiement :

Indicateur de risque	Ce qu'il faut rechercher	Niveau de préoccupation
Exécution de code	Scripts dans le répertoire de compétences (`.py`, `.sh`, `*.js`)	Élevé : les scripts s'exécutent avec un accès complet à l'environnement
Manipulation d'instructions	Directives pour ignorer les règles de sécurité, masquer les actions aux utilisateurs ou modifier le comportement de Claude de manière conditionnelle	Élevé : peut contourner les contrôles de sécurité
Références de serveur MCP	Instructions référençant les outils MCP (`ServerName:tool_name`)	Élevé : étend l'accès au-delà de la compétence elle-même
Modèles d'accès réseau	URL, points de terminaison API, appels `fetch`, `curl` ou `requests`	Élevé : vecteur potentiel d'exfiltration de données
Identifiants codés en dur	Clés API, jetons ou mots de passe dans les fichiers de compétences ou les scripts	Élevé : secrets exposés dans l'historique Git et la fenêtre de contexte
Étendue d'accès au système de fichiers	Chemins en dehors du répertoire de compétences, modèles glob larges, traversée de répertoires (`../`)	Moyen : peut accéder à des données involontaires
Invocations d'outils	Instructions dirigeant Claude pour utiliser bash, les opérations de fichiers ou d'autres outils	Moyen : examiner les opérations effectuées

Liste de contrôle d'examen

Avant de déployer une compétence d'un tiers ou d'un contributeur interne, complétez ces étapes :

Lisez tout le contenu du répertoire de compétences. Examinez SKILL.md, tous les fichiers markdown référencés et tous les scripts ou ressources fournis.
Vérifiez que le comportement du script correspond à l'objectif déclaré. Exécutez les scripts dans un environnement isolé et confirmez que les résultats correspondent à la description de la compétence.
Vérifiez les instructions adversariales. Recherchez les directives qui indiquent à Claude d'ignorer les règles de sécurité, de masquer les actions aux utilisateurs, d'exfiltrer les données par les réponses ou de modifier le comportement en fonction d'entrées spécifiques.
Vérifiez les récupérations d'URL externes ou les appels réseau. Recherchez dans les scripts et les instructions les modèles d'accès réseau (http, requests.get, urllib, curl, fetch).
Vérifiez qu'il n'y a pas d'identifiants codés en dur. Vérifiez les clés API, les jetons ou les mots de passe dans les fichiers de compétences. Les identifiants doivent utiliser des variables d'environnement ou des magasins d'identifiants sécurisés, jamais apparaître dans le contenu de la compétence.
Identifiez les outils et commandes que la compétence demande à Claude d'invoquer. Listez toutes les commandes bash, les opérations de fichiers et les références d'outils. Considérez le risque combiné lorsqu'une compétence utilise à la fois les outils de lecture de fichiers et les outils réseau.
Confirmez les destinations de redirection. Si la compétence référence des URL externes, vérifiez qu'elles pointent vers les domaines attendus.
Vérifiez l'absence de modèles d'exfiltration de données. Recherchez les instructions qui lisent les données sensibles, puis les écrivent, les envoient ou les encodent pour une transmission externe, y compris par les réponses conversationnelles de Claude.

Évaluation des compétences avant le déploiement

Ce qu'il faut évaluer

Établissez des portes d'approbation pour ces dimensions avant de déployer une compétence :

Dimension	Ce qu'elle mesure	Exemple d'échec
Précision du déclenchement	La compétence s'active-t-elle pour les bonnes requêtes et reste-t-elle inactive pour les requêtes non liées ?	La compétence se déclenche à chaque mention de feuille de calcul, même lorsque l'utilisateur veut simplement discuter des données
Comportement d'isolation	La compétence fonctionne-t-elle correctement seule ?	La compétence référence des fichiers qui n'existent pas dans son répertoire
Coexistence	L'ajout de cette compétence dégrade-t-il d'autres compétences ?	La description de la nouvelle compétence est trop large, volant les déclenchements des compétences existantes
Suivi des instructions	Claude suit-il les instructions de la compétence avec précision ?	Claude saute les étapes de validation ou utilise les mauvaises bibliothèques
Qualité de sortie	La compétence produit-elle des résultats corrects et utiles ?	Les rapports générés ont des erreurs de formatage ou des données manquantes

Exigences d'évaluation

Utilisation des évaluations pour les décisions de cycle de vie

Les résultats d'évaluation signalent quand agir :

Précision de déclenchement déclinante : Mettez à jour la description ou les instructions de la compétence
Conflits de coexistence : Consolidez les compétences qui se chevauchent ou réduisez les descriptions
Qualité de sortie constamment faible : Réécrivez les instructions ou ajoutez des étapes de validation
Échecs persistants après les mises à jour : Déclassez la compétence

Gestion du cycle de vie des compétences

Planifier
Identifiez les flux de travail qui sont répétitifs, sujets aux erreurs ou qui nécessitent des connaissances spécialisées. Mappez-les aux rôles organisationnels et déterminez lesquels sont des candidats pour les compétences.
Créer et examiner
Assurez-vous que l'auteur de la compétence suit les meilleures pratiques. Exigez un examen de sécurité en utilisant la liste de contrôle d'examen ci-dessus. Exigez une suite d'évaluation avant approbation. Établissez une séparation des tâches : les auteurs de compétences ne doivent pas être leurs propres examinateurs.
Tester
Exigez des évaluations en isolation (compétence seule) et aux côtés des compétences existantes (test de coexistence). Vérifiez la précision du déclenchement, la qualité de sortie et l'absence de régressions dans votre ensemble de compétences actif avant d'approuver pour la production.
Déployer
Téléchargez via l'API des compétences pour un accès à l'échelle de l'espace de travail. Voir Utilisation des compétences avec l'API pour le téléchargement et la gestion des versions. Documentez la compétence dans votre registre interne avec l'objectif, le propriétaire et la version.
Surveiller
Suivez les modèles d'utilisation et collectez les commentaires des utilisateurs. Réexécutez les évaluations périodiquement pour détecter la dérive ou les régressions à mesure que les flux de travail et les modèles évoluent. Les analyses d'utilisation ne sont actuellement pas disponibles via l'API des compétences. Implémentez la journalisation au niveau de l'application pour suivre les compétences incluses dans les requêtes.
Itérer ou déclasser
Exigez que la suite d'évaluation complète réussisse avant de promouvoir les nouvelles versions. Mettez à jour les compétences lorsque les flux de travail changent ou que les scores d'évaluation déclinent. Déclassez les compétences lorsque les évaluations échouent constamment ou que le flux de travail est retiré.

Organisation des compétences à l'échelle

Limites de rappel

Commencer spécifique, consolider plus tard

Exemple de progression :

Début : formatting-sales-reports, querying-pipeline-data, updating-crm-records
Consolidation : sales-operations (lorsque les évaluations confirment des performances équivalentes)

Nommage et catalogage

Utilisez des conventions de nommage cohérentes dans votre organisation. La section conventions de nommage dans les meilleures pratiques fournit des conseils de formatage.

Maintenez un registre interne pour chaque compétence avec :

Objectif : Le flux de travail que la compétence supporte
Propriétaire : L'équipe ou l'individu responsable de la maintenance
Version : Version actuellement déployée
Dépendances : Serveurs MCP, packages ou services externes requis
Statut d'évaluation : Date et résultats de la dernière évaluation

Ensembles basés sur les rôles

Groupez les compétences par rôle organisationnel pour garder l'ensemble actif de compétences de chaque utilisateur concentré :

Équipe commerciale : Opérations CRM, rapports de pipeline, génération de propositions
Ingénierie : Examen de code, flux de travail de déploiement, réponse aux incidents
Finance : Génération de rapports, validation des données, préparation d'audit

Chaque ensemble basé sur les rôles ne doit contenir que les compétences pertinentes pour les flux de travail quotidiens de ce rôle.

Distribution et contrôle de version

Contrôle de source

Distribution basée sur l'API

Stratégie de versioning

Production : Épinglez les compétences à des versions spécifiques. Exécutez la suite d'évaluation complète avant de promouvoir une nouvelle version. Traitez chaque mise à jour comme un nouveau déploiement nécessitant un examen de sécurité complet.
Développement et test : Utilisez les dernières versions pour valider les modifications avant la promotion en production.
Plan de restauration : Maintenez la version précédente comme secours. Si une nouvelle version échoue les évaluations en production, revenez immédiatement à la dernière version connue comme bonne.
Vérification d'intégrité : Calculez les sommes de contrôle des compétences examinées et vérifiez-les au moment du déploiement. Utilisez les commits signés dans votre référentiel de compétences pour assurer la provenance.

Considérations multi-surfaces

Étapes suivantes

Aperçu des compétences d'agent

Détails architecturaux et de plateforme

Meilleures pratiques

Conseils de création pour les créateurs de compétences

Utilisation des compétences avec l'API

Téléchargez et gérez les compétences par programmation

Déploiement sécurisé des agents IA

Modèles de sécurité pour le déploiement d'agents

Was this page helpful?