MensagensSkills

Skills para empresas

Governança, revisão de segurança, avaliação e orientação organizacional para implantar Agent Skills em escala empresarial.

Este guia é destinado a administradores e arquitetos empresariais que precisam governar Agent Skills em toda uma organização. Ele aborda como examinar, avaliar, implantar e gerenciar Skills em escala. Para orientações sobre criação, consulte melhores práticas. Para detalhes de arquitetura, consulte a visão geral de Skills.

Revisão de segurança e verificação

Implantar Skills em uma empresa requer responder a duas perguntas distintas:

Skills são seguras em geral? Consulte a seção de considerações de segurança na visão geral para detalhes de segurança no nível da plataforma.
Como verifico uma Skill específica? Use a avaliação de risco e a lista de verificação de revisão abaixo.

Avaliação de nível de risco

Avalie cada Skill em relação a estes indicadores de risco antes de aprovar a implantação:

Indicador de risco	O que procurar	Nível de preocupação
Execução de código	Scripts no diretório da Skill (`.py`, `.sh`, `*.js`)	Alto: scripts são executados com acesso total ao ambiente
Manipulação de instruções	Diretivas para ignorar regras de segurança, ocultar ações dos usuários ou alterar o comportamento do Claude condicionalmente	Alto: pode contornar controles de segurança
Referências a servidores MCP	Instruções referenciando ferramentas MCP (`ServerName:tool_name`)	Alto: estende o acesso além da própria Skill
Padrões de acesso à rede	URLs, endpoints de API, chamadas `fetch`, `curl` ou `requests`	Alto: potencial vetor de exfiltração de dados
Credenciais codificadas	Chaves de API, tokens ou senhas em arquivos ou scripts da Skill	Alto: segredos expostos no histórico do Git e na janela de contexto
Escopo de acesso ao sistema de arquivos	Caminhos fora do diretório da Skill, padrões glob amplos, travessia de caminho (`../`)	Médio: pode acessar dados não intencionais
Invocações de ferramentas	Instruções direcionando o Claude a usar bash, operações de arquivo ou outras ferramentas	Médio: revise quais operações são executadas

Lista de verificação de revisão

Antes de implantar qualquer Skill de terceiros ou de um colaborador interno, conclua estas etapas:

Leia todo o conteúdo do diretório da Skill. Revise o SKILL.md, todos os arquivos markdown referenciados e quaisquer scripts ou recursos incluídos.
Verifique se o comportamento do script corresponde ao propósito declarado. Execute scripts em um ambiente isolado (sandbox) e confirme que as saídas estão alinhadas com a descrição da Skill.
Verifique se há instruções adversariais. Procure diretivas que instruam o Claude a ignorar regras de segurança, ocultar ações dos usuários, exfiltrar dados através de respostas ou alterar o comportamento com base em entradas específicas.
Verifique se há buscas de URLs externas ou chamadas de rede. Pesquise scripts e instruções em busca de padrões de acesso à rede (http, requests.get, urllib, curl, fetch).
Verifique se não há credenciais codificadas. Verifique se há chaves de API, tokens ou senhas nos arquivos da Skill. Credenciais devem usar variáveis de ambiente ou armazenamentos seguros de credenciais, nunca aparecer no conteúdo da Skill.
Identifique ferramentas e comandos que a Skill instrui o Claude a invocar. Liste todos os comandos bash, operações de arquivo e referências a ferramentas. Considere o risco combinado quando uma Skill usa ferramentas de leitura de arquivo e de rede juntas.
Confirme os destinos de redirecionamento. Se a Skill referenciar URLs externas, verifique se elas apontam para domínios esperados.
Verifique se não há padrões de exfiltração de dados. Procure instruções que leiam dados sensíveis e depois os escrevam, enviem ou codifiquem para transmissão externa, inclusive através das respostas conversacionais do Claude.

Nunca implante Skills de fontes não confiáveis sem uma auditoria completa. Uma Skill maliciosa pode direcionar o Claude a executar código arbitrário, acessar arquivos sensíveis ou transmitir dados externamente. Trate a instalação de Skills com o mesmo rigor que a instalação de software em sistemas de produção.

Avaliando Skills antes da implantação

Skills podem degradar o desempenho do agente se forem acionadas incorretamente, entrarem em conflito com outras Skills ou fornecerem instruções inadequadas. Exija avaliação antes de qualquer implantação em produção.

O que avaliar

Estabeleça portões de aprovação para estas dimensões antes de implantar qualquer Skill:

Dimensão	O que mede	Exemplo de falha
Precisão de acionamento	A Skill é ativada para as consultas certas e permanece inativa para consultas não relacionadas?	A Skill é acionada em toda menção a planilha, mesmo quando o usuário só quer discutir dados
Comportamento isolado	A Skill funciona corretamente por conta própria?	A Skill referencia arquivos que não existem em seu diretório
Coexistência	Adicionar esta Skill degrada outras Skills?	A descrição da nova Skill é muito ampla, roubando acionamentos de Skills existentes
Seguimento de instruções	O Claude segue as instruções da Skill com precisão?	O Claude pula etapas de validação ou usa bibliotecas erradas
Qualidade da saída	A Skill produz resultados corretos e úteis?	Relatórios gerados têm erros de formatação ou dados ausentes

Requisitos de avaliação

Exija que os autores de Skills enviem conjuntos de avaliação com 3 a 5 consultas representativas por Skill, cobrindo casos em que a Skill deve ser acionada, não deve ser acionada e casos limítrofes ambíguos. Exija testes em todos os modelos que sua organização usa (Haiku, Sonnet, Opus), já que a eficácia da Skill varia conforme o modelo.

Para orientações detalhadas sobre como criar avaliações, consulte avaliação e iteração em melhores práticas. Para metodologia geral de avaliação, consulte desenvolver casos de teste.

Usando avaliações para decisões de ciclo de vida

Os resultados da avaliação sinalizam quando agir:

Precisão de acionamento em declínio: Atualize a descrição ou as instruções da Skill
Conflitos de coexistência: Consolide Skills sobrepostas ou restrinja as descrições
Qualidade de saída consistentemente baixa: Reescreva as instruções ou adicione etapas de validação
Falhas persistentes entre atualizações: Descontinue a Skill

Gerenciamento do ciclo de vida de Skills

Planejar
Identifique fluxos de trabalho que são repetitivos, propensos a erros ou que exigem conhecimento especializado. Mapeie-os para funções organizacionais e determine quais são candidatos a Skills.
Criar e revisar
Garanta que o autor da Skill siga as melhores práticas. Exija uma revisão de segurança usando a lista de verificação de revisão acima. Exija um conjunto de avaliação antes da aprovação. Estabeleça separação de responsabilidades: autores de Skills não devem ser seus próprios revisores.
Testar
Exija avaliações isoladas (Skill sozinha) e junto com Skills existentes (teste de coexistência). Verifique a precisão de acionamento, a qualidade da saída e a ausência de regressões em todo o seu conjunto ativo de Skills antes de aprovar para produção.
Implantar
Faça upload via API de Skills para acesso em todo o workspace. Consulte Usando Skills com a API para upload e gerenciamento de versões. Documente a Skill em seu registro interno com propósito, responsável e versão.
Monitorar
Acompanhe padrões de uso e colete feedback dos usuários. Execute novamente as avaliações periodicamente para detectar desvios ou regressões à medida que fluxos de trabalho e modelos evoluem. Análises de uso não estão atualmente disponíveis via API de Skills. Implemente registro de logs no nível da aplicação para rastrear quais Skills são incluídas nas requisições.
Iterar ou descontinuar
Exija que o conjunto completo de avaliação seja aprovado antes de promover novas versões. Atualize Skills quando fluxos de trabalho mudarem ou pontuações de avaliação declinarem. Descontinue Skills quando as avaliações falharem consistentemente ou o fluxo de trabalho for aposentado.

Organizando Skills em escala

Limites de recuperação

Como diretriz geral, limite o número de Skills carregadas simultaneamente para manter uma precisão de recuperação confiável. Os metadados de cada Skill (nome e descrição) competem por atenção no prompt do sistema. Com muitas Skills ativas, o Claude pode falhar em selecionar a Skill certa ou deixar de identificar as relevantes. Use seu conjunto de avaliação para medir a precisão de recuperação à medida que adiciona Skills, e pare de adicionar quando o desempenho degradar.

Observe que requisições à API suportam no máximo 8 Skills por requisição (consulte Usando Skills com a API). Se uma função exigir mais Skills do que uma única requisição suporta, considere consolidar Skills específicas em outras mais amplas ou rotear requisições para diferentes conjuntos de Skills com base no tipo de tarefa.

Comece específico, consolide depois

Incentive as equipes a começar com Skills específicas e focadas em fluxos de trabalho, em vez de Skills amplas e multifuncionais. À medida que padrões surgirem em sua organização, consolide Skills relacionadas em pacotes baseados em função.

Use avaliações para decidir quando consolidar. Mescle Skills específicas em uma mais ampla apenas quando as avaliações da Skill consolidada confirmarem desempenho equivalente ao das Skills individuais que ela substitui.

Exemplo de progressão:

Início: formatting-sales-reports, querying-pipeline-data, updating-crm-records
Consolidação: sales-operations (quando as avaliações confirmarem desempenho equivalente)

Nomenclatura e catalogação

Use convenções de nomenclatura consistentes em toda a sua organização. A seção de convenções de nomenclatura em melhores práticas fornece orientações de formatação.

Mantenha um registro interno para cada Skill com:

Propósito: Qual fluxo de trabalho a Skill suporta
Responsável: Equipe ou indivíduo responsável pela manutenção
Versão: Versão atualmente implantada
Dependências: Servidores MCP, pacotes ou serviços externos necessários
Status de avaliação: Data e resultados da última avaliação

Pacotes baseados em função

Agrupe Skills por função organizacional para manter o conjunto ativo de Skills de cada usuário focado:

Equipe de vendas: Operações de CRM, relatórios de pipeline, geração de propostas
Engenharia: Revisão de código, fluxos de trabalho de implantação, resposta a incidentes
Finanças: Geração de relatórios, validação de dados, preparação de auditoria

Cada pacote baseado em função deve conter apenas as Skills relevantes para os fluxos de trabalho diários daquela função.

Distribuição e controle de versão

Controle de código-fonte

Armazene diretórios de Skills no Git para rastreamento de histórico, revisão de código via pull requests e capacidade de rollback. Cada diretório de Skill (contendo SKILL.md e quaisquer arquivos incluídos) mapeia naturalmente para uma pasta rastreada pelo Git.

Distribuição baseada em API

A API de Skills fornece distribuição com escopo de workspace. Skills enviadas via API ficam disponíveis para todos os membros do workspace. Consulte Usando Skills com a API para endpoints de upload, versionamento e gerenciamento.

Estratégia de versionamento

Produção: Fixe Skills em versões específicas. Execute o conjunto completo de avaliação antes de promover uma nova versão. Trate cada atualização como uma nova implantação que exige revisão completa de segurança.
Desenvolvimento e teste: Use as versões mais recentes para validar mudanças antes da promoção para produção.
Plano de rollback: Mantenha a versão anterior como fallback. Se uma nova versão falhar nas avaliações em produção, reverta imediatamente para a última versão conhecida como funcional.
Verificação de integridade: Calcule checksums das Skills revisadas e verifique-os no momento da implantação. Use commits assinados em seu repositório de Skills para garantir a procedência.

Considerações entre superfícies

Skills personalizadas não são sincronizadas entre superfícies. Skills enviadas para a API não estão disponíveis no claude.ai ou no Claude Code, e vice-versa. Cada superfície requer uploads e gerenciamento separados.

Mantenha os arquivos-fonte das Skills no Git como a única fonte de verdade. Se sua organização implanta Skills em várias superfícies, implemente seu próprio processo de sincronização para mantê-las consistentes. Para detalhes completos, consulte disponibilidade entre superfícies.

Próximos passos

Visão geral de Agent Skills

Detalhes de arquitetura e plataforma

Melhores práticas

Orientações de criação para autores de Skills

Usando Skills com a API

Faça upload e gerencie Skills programaticamente

Was this page helpful?

MensagensSkills

Skills para empresas

Governança, revisão de segurança, avaliação e orientação organizacional para implantar Agent Skills em escala empresarial.

Revisão de segurança e verificação

Implantar Skills em uma empresa requer responder a duas perguntas distintas:

Skills são seguras em geral? Consulte a seção de considerações de segurança na visão geral para detalhes de segurança no nível da plataforma.
Como verifico uma Skill específica? Use a avaliação de risco e a lista de verificação de revisão abaixo.

Avaliação de nível de risco

Avalie cada Skill em relação a estes indicadores de risco antes de aprovar a implantação:

Indicador de risco	O que procurar	Nível de preocupação
Execução de código	Scripts no diretório da Skill (`.py`, `.sh`, `*.js`)	Alto: scripts são executados com acesso total ao ambiente
Manipulação de instruções	Diretivas para ignorar regras de segurança, ocultar ações dos usuários ou alterar o comportamento do Claude condicionalmente	Alto: pode contornar controles de segurança
Referências a servidores MCP	Instruções referenciando ferramentas MCP (`ServerName:tool_name`)	Alto: estende o acesso além da própria Skill
Padrões de acesso à rede	URLs, endpoints de API, chamadas `fetch`, `curl` ou `requests`	Alto: potencial vetor de exfiltração de dados
Credenciais codificadas	Chaves de API, tokens ou senhas em arquivos ou scripts da Skill	Alto: segredos expostos no histórico do Git e na janela de contexto
Escopo de acesso ao sistema de arquivos	Caminhos fora do diretório da Skill, padrões glob amplos, travessia de caminho (`../`)	Médio: pode acessar dados não intencionais
Invocações de ferramentas	Instruções direcionando o Claude a usar bash, operações de arquivo ou outras ferramentas	Médio: revise quais operações são executadas

Lista de verificação de revisão

Antes de implantar qualquer Skill de terceiros ou de um colaborador interno, conclua estas etapas:

Leia todo o conteúdo do diretório da Skill. Revise o SKILL.md, todos os arquivos markdown referenciados e quaisquer scripts ou recursos incluídos.
Verifique se o comportamento do script corresponde ao propósito declarado. Execute scripts em um ambiente isolado (sandbox) e confirme que as saídas estão alinhadas com a descrição da Skill.
Verifique se há instruções adversariais. Procure diretivas que instruam o Claude a ignorar regras de segurança, ocultar ações dos usuários, exfiltrar dados através de respostas ou alterar o comportamento com base em entradas específicas.
Verifique se há buscas de URLs externas ou chamadas de rede. Pesquise scripts e instruções em busca de padrões de acesso à rede (http, requests.get, urllib, curl, fetch).
Verifique se não há credenciais codificadas. Verifique se há chaves de API, tokens ou senhas nos arquivos da Skill. Credenciais devem usar variáveis de ambiente ou armazenamentos seguros de credenciais, nunca aparecer no conteúdo da Skill.
Identifique ferramentas e comandos que a Skill instrui o Claude a invocar. Liste todos os comandos bash, operações de arquivo e referências a ferramentas. Considere o risco combinado quando uma Skill usa ferramentas de leitura de arquivo e de rede juntas.
Confirme os destinos de redirecionamento. Se a Skill referenciar URLs externas, verifique se elas apontam para domínios esperados.
Verifique se não há padrões de exfiltração de dados. Procure instruções que leiam dados sensíveis e depois os escrevam, enviem ou codifiquem para transmissão externa, inclusive através das respostas conversacionais do Claude.

Avaliando Skills antes da implantação

O que avaliar

Estabeleça portões de aprovação para estas dimensões antes de implantar qualquer Skill:

Dimensão	O que mede	Exemplo de falha
Precisão de acionamento	A Skill é ativada para as consultas certas e permanece inativa para consultas não relacionadas?	A Skill é acionada em toda menção a planilha, mesmo quando o usuário só quer discutir dados
Comportamento isolado	A Skill funciona corretamente por conta própria?	A Skill referencia arquivos que não existem em seu diretório
Coexistência	Adicionar esta Skill degrada outras Skills?	A descrição da nova Skill é muito ampla, roubando acionamentos de Skills existentes
Seguimento de instruções	O Claude segue as instruções da Skill com precisão?	O Claude pula etapas de validação ou usa bibliotecas erradas
Qualidade da saída	A Skill produz resultados corretos e úteis?	Relatórios gerados têm erros de formatação ou dados ausentes

Requisitos de avaliação

Para orientações detalhadas sobre como criar avaliações, consulte avaliação e iteração em melhores práticas. Para metodologia geral de avaliação, consulte desenvolver casos de teste.

Usando avaliações para decisões de ciclo de vida

Os resultados da avaliação sinalizam quando agir:

Precisão de acionamento em declínio: Atualize a descrição ou as instruções da Skill
Conflitos de coexistência: Consolide Skills sobrepostas ou restrinja as descrições
Qualidade de saída consistentemente baixa: Reescreva as instruções ou adicione etapas de validação
Falhas persistentes entre atualizações: Descontinue a Skill

Gerenciamento do ciclo de vida de Skills

Planejar
Identifique fluxos de trabalho que são repetitivos, propensos a erros ou que exigem conhecimento especializado. Mapeie-os para funções organizacionais e determine quais são candidatos a Skills.
Criar e revisar
Garanta que o autor da Skill siga as melhores práticas. Exija uma revisão de segurança usando a lista de verificação de revisão acima. Exija um conjunto de avaliação antes da aprovação. Estabeleça separação de responsabilidades: autores de Skills não devem ser seus próprios revisores.
Testar
Exija avaliações isoladas (Skill sozinha) e junto com Skills existentes (teste de coexistência). Verifique a precisão de acionamento, a qualidade da saída e a ausência de regressões em todo o seu conjunto ativo de Skills antes de aprovar para produção.
Implantar
Faça upload via API de Skills para acesso em todo o workspace. Consulte Usando Skills com a API para upload e gerenciamento de versões. Documente a Skill em seu registro interno com propósito, responsável e versão.
Monitorar
Acompanhe padrões de uso e colete feedback dos usuários. Execute novamente as avaliações periodicamente para detectar desvios ou regressões à medida que fluxos de trabalho e modelos evoluem. Análises de uso não estão atualmente disponíveis via API de Skills. Implemente registro de logs no nível da aplicação para rastrear quais Skills são incluídas nas requisições.
Iterar ou descontinuar
Exija que o conjunto completo de avaliação seja aprovado antes de promover novas versões. Atualize Skills quando fluxos de trabalho mudarem ou pontuações de avaliação declinarem. Descontinue Skills quando as avaliações falharem consistentemente ou o fluxo de trabalho for aposentado.

Organizando Skills em escala

Limites de recuperação

Comece específico, consolide depois

Exemplo de progressão:

Início: formatting-sales-reports, querying-pipeline-data, updating-crm-records
Consolidação: sales-operations (quando as avaliações confirmarem desempenho equivalente)

Nomenclatura e catalogação

Use convenções de nomenclatura consistentes em toda a sua organização. A seção de convenções de nomenclatura em melhores práticas fornece orientações de formatação.

Mantenha um registro interno para cada Skill com:

Propósito: Qual fluxo de trabalho a Skill suporta
Responsável: Equipe ou indivíduo responsável pela manutenção
Versão: Versão atualmente implantada
Dependências: Servidores MCP, pacotes ou serviços externos necessários
Status de avaliação: Data e resultados da última avaliação

Pacotes baseados em função

Agrupe Skills por função organizacional para manter o conjunto ativo de Skills de cada usuário focado:

Equipe de vendas: Operações de CRM, relatórios de pipeline, geração de propostas
Engenharia: Revisão de código, fluxos de trabalho de implantação, resposta a incidentes
Finanças: Geração de relatórios, validação de dados, preparação de auditoria

Cada pacote baseado em função deve conter apenas as Skills relevantes para os fluxos de trabalho diários daquela função.

Distribuição e controle de versão

Controle de código-fonte

Distribuição baseada em API

Estratégia de versionamento

Produção: Fixe Skills em versões específicas. Execute o conjunto completo de avaliação antes de promover uma nova versão. Trate cada atualização como uma nova implantação que exige revisão completa de segurança.
Desenvolvimento e teste: Use as versões mais recentes para validar mudanças antes da promoção para produção.
Plano de rollback: Mantenha a versão anterior como fallback. Se uma nova versão falhar nas avaliações em produção, reverta imediatamente para a última versão conhecida como funcional.
Verificação de integridade: Calcule checksums das Skills revisadas e verifique-os no momento da implantação. Use commits assinados em seu repositório de Skills para garantir a procedência.

Considerações entre superfícies

Próximos passos

Visão geral de Agent Skills

Detalhes de arquitetura e plataforma

Melhores práticas

Orientações de criação para autores de Skills

Usando Skills com a API

Faça upload e gerencie Skills programaticamente

Was this page helpful?

Revisão de segurança e verificação

Avaliação de nível de risco

Lista de verificação de revisão

Avaliando Skills antes da implantação

O que avaliar

Requisitos de avaliação

Usando avaliações para decisões de ciclo de vida

Gerenciamento do ciclo de vida de Skills

Organizando Skills em escala

Limites de recuperação

Comece específico, consolide depois

Nomenclatura e catalogação

Pacotes baseados em função

Distribuição e controle de versão

Controle de código-fonte

Distribuição baseada em API

Estratégia de versionamento

Considerações entre superfícies

Próximos passos

Revisão de segurança e verificação

Avaliação de nível de risco

Lista de verificação de revisão

Avaliando Skills antes da implantação

O que avaliar

Requisitos de avaliação

Usando avaliações para decisões de ciclo de vida

Gerenciamento do ciclo de vida de Skills

Organizando Skills em escala

Limites de recuperação

Comece específico, consolide depois

Nomenclatura e catalogação

Pacotes baseados em função

Distribuição e controle de versão

Controle de código-fonte

Distribuição baseada em API

Estratégia de versionamento

Considerações entre superfícies

Próximos passos

Revisão de segurança e verificação

Avaliação de nível de risco

Lista de verificação de revisão

Avaliando Skills antes da implantação

O que avaliar

Requisitos de avaliação

Usando avaliações para decisões de ciclo de vida

Gerenciamento do ciclo de vida de Skills

Organizando Skills em escala

Limites de recuperação

Comece específico, consolide depois

Nomenclatura e catalogação

Pacotes baseados em função

Distribuição e controle de versão

Controle de código-fonte

Distribuição baseada em API

Estratégia de versionamento

Considerações entre superfícies

Próximos passos

Revisão de segurança e verificação

Avaliação de nível de risco

Lista de verificação de revisão

Avaliando Skills antes da implantação

O que avaliar

Requisitos de avaliação

Usando avaliações para decisões de ciclo de vida

Gerenciamento do ciclo de vida de Skills

Organizando Skills em escala

Limites de recuperação

Comece específico, consolide depois

Nomenclatura e catalogação

Pacotes baseados em função

Distribuição e controle de versão

Controle de código-fonte

Distribuição baseada em API

Estratégia de versionamento

Considerações entre superfícies

Próximos passos