Habilidades de agente

Skills para empresas

Governança, revisão de segurança, avaliação e orientação organizacional para implantar Agent Skills em escala empresarial.

Este guia é para administradores e arquitetos empresariais que precisam governar Agent Skills em toda a organização. Ele aborda como avaliar, avaliar, implantar e gerenciar Skills em escala. Para orientação de autoria, consulte melhores práticas. Para detalhes de arquitetura, consulte a visão geral de Skills.

Revisão de segurança e avaliação

Implantar Skills em uma empresa requer responder a duas perguntas distintas:

As Skills são seguras em geral? Consulte a seção considerações de segurança na visão geral para detalhes de segurança em nível de plataforma.
Como faço para avaliar uma Skill específica? Use a avaliação de risco e a lista de verificação de revisão abaixo.

Avaliação de nível de risco

Avalie cada Skill em relação a estes indicadores de risco antes de aprovar a implantação:

Indicador de risco	O que procurar	Nível de preocupação
Execução de código	Scripts no diretório de Skill (`.py`, `.sh`, `*.js`)	Alto: scripts executam com acesso total ao ambiente
Manipulação de instruções	Diretivas para ignorar regras de segurança, ocultar ações dos usuários ou alterar o comportamento do Claude condicionalmente	Alto: pode contornar controles de segurança
Referências de servidor MCP	Instruções referenciando ferramentas MCP (`ServerName:tool_name`)	Alto: estende o acesso além da própria Skill
Padrões de acesso à rede	URLs, endpoints de API, chamadas `fetch`, `curl` ou `requests`	Alto: vetor potencial de exfiltração de dados
Credenciais codificadas	Chaves de API, tokens ou senhas em arquivos ou scripts de Skill	Alto: segredos expostos no histórico do Git e na janela de contexto
Escopo de acesso ao sistema de arquivos	Caminhos fora do diretório de Skill, padrões glob amplos, travessia de caminho (`../`)	Médio: pode acessar dados não intencionais
Invocações de ferramentas	Instruções direcionando Claude a usar bash, operações de arquivo ou outras ferramentas	Médio: revise quais operações são executadas

Lista de verificação de revisão

Antes de implantar qualquer Skill de um terceiro ou colaborador interno, conclua estas etapas:

Leia todo o conteúdo do diretório de Skill. Revise SKILL.md, todos os arquivos markdown referenciados e quaisquer scripts ou recursos agrupados.
Verifique se o comportamento do script corresponde ao propósito declarado. Execute scripts em um ambiente isolado e confirme que as saídas se alinham com a descrição da Skill.
Verifique se há instruções adversárias. Procure por diretivas que dizem ao Claude para ignorar regras de segurança, ocultar ações dos usuários, exfiltrar dados através de respostas ou alterar o comportamento com base em entradas específicas.
Verifique se há buscas de URL externas ou chamadas de rede. Pesquise scripts e instruções para padrões de acesso à rede (http, requests.get, urllib, curl, fetch).
Verifique se não há credenciais codificadas. Procure por chaves de API, tokens ou senhas em arquivos de Skill. As credenciais devem usar variáveis de ambiente ou armazenamentos de credenciais seguros, nunca aparecer no conteúdo de Skill.
Identifique as ferramentas e comandos que a Skill instrui Claude a invocar. Liste todos os comandos bash, operações de arquivo e referências de ferramentas. Considere o risco combinado quando uma Skill usa ferramentas de leitura de arquivo e rede juntas.
Confirme os destinos de redirecionamento. Se a Skill referencia URLs externas, verifique se apontam para domínios esperados.
Verifique se não há padrões de exfiltração de dados. Procure por instruções que leem dados sensíveis e depois os escrevem, enviam ou codificam para transmissão externa, incluindo através das respostas conversacionais do Claude.

Nunca implante Skills de fontes não confiáveis sem uma auditoria completa. Uma Skill maliciosa pode direcionar Claude para executar código arbitrário, acessar arquivos sensíveis ou transmitir dados externamente. Trate a instalação de Skill com o mesmo rigor que instalar software em sistemas de produção.

Avaliando Skills antes da implantação

Skills podem degradar o desempenho do agente se forem acionadas incorretamente, entrarem em conflito com outras Skills ou fornecerem instruções pobres. Exija avaliação antes de qualquer implantação em produção.

O que avaliar

Estabeleça portais de aprovação para estas dimensões antes de implantar qualquer Skill:

Dimensão	O que mede	Falha de exemplo
Precisão de acionamento	A Skill é ativada para as consultas corretas e permanece inativa para as não relacionadas?	Skill é acionada em cada menção de planilha, mesmo quando o usuário apenas quer discutir dados
Comportamento de isolamento	A Skill funciona corretamente por si só?	Skill referencia arquivos que não existem em seu diretório
Coexistência	Adicionar esta Skill degrada outras Skills?	A descrição da nova Skill é muito ampla, roubando acionadores de Skills existentes
Seguimento de instruções	Claude segue as instruções da Skill com precisão?	Claude pula etapas de validação ou usa bibliotecas erradas
Qualidade de saída	A Skill produz resultados corretos e úteis?	Relatórios gerados têm erros de formatação ou dados ausentes

Requisitos de avaliação

Exija que os autores de Skill enviem suites de avaliação com 3-5 consultas representativas por Skill, cobrindo casos em que a Skill deve ser acionada, não deve ser acionada e casos extremos ambíguos. Exija testes em todos os modelos que sua organização usa (Haiku, Sonnet, Opus), pois a eficácia da Skill varia por modelo.

Para orientação detalhada sobre como construir avaliações, consulte avaliação e iteração em melhores práticas. Para metodologia geral de avaliação, consulte desenvolver casos de teste.

Usando avaliações para decisões de ciclo de vida

Os resultados da avaliação sinalizam quando agir:

Precisão de acionamento em declínio: Atualize a descrição ou instruções da Skill
Conflitos de coexistência: Consolide Skills sobrepostas ou restrinja descrições
Qualidade de saída consistentemente baixa: Reescreva instruções ou adicione etapas de validação
Falhas persistentes em atualizações: Descontinue a Skill

Gerenciamento de ciclo de vida de Skill

Planejar
Identifique fluxos de trabalho que são repetitivos, propensos a erros ou requerem conhecimento especializado. Mapeie-os para funções organizacionais e determine quais são candidatos para Skills.
Criar e revisar
Garanta que o autor da Skill siga melhores práticas. Exija uma revisão de segurança usando a lista de verificação de revisão acima. Exija uma suite de avaliação antes da aprovação. Estabeleça separação de funções: autores de Skill não devem ser seus próprios revisores.
Testar
Exija avaliações em isolamento (Skill sozinha) e ao lado de Skills existentes (testes de coexistência). Verifique a precisão de acionamento, qualidade de saída e ausência de regressões em seu conjunto ativo de Skill antes de aprovar para produção.
Implantar
Carregue via a API de Skills para acesso em toda a área de trabalho. Consulte Usando Skills com a API para upload e gerenciamento de versão. Documente a Skill em seu registro interno com propósito, proprietário e versão.
Monitorar
Rastreie padrões de uso e colete feedback dos usuários. Re-execute avaliações periodicamente para detectar desvio ou regressões conforme fluxos de trabalho e modelos evoluem. Análises de uso não estão disponíveis atualmente via a API de Skills. Implemente logging em nível de aplicação para rastrear quais Skills estão incluídas nas solicitações.
Iterar ou descontinuar
Exija que a suite de avaliação completa passe antes de promover novas versões. Atualize Skills quando fluxos de trabalho mudam ou pontuações de avaliação declinem. Descontinue Skills quando avaliações falham consistentemente ou o fluxo de trabalho é descontinuado.

Organizando Skills em escala

Limites de recall

Como diretriz geral, limite o número de Skills carregadas simultaneamente para manter a precisão de recall confiável. Os metadados de cada Skill (nome e descrição) competem por atenção no prompt do sistema. Com muitas Skills ativas, Claude pode falhar em selecionar a Skill correta ou perder as relevantes inteiramente. Use sua suite de avaliação para medir a precisão de recall conforme você adiciona Skills e pare de adicionar quando o desempenho se degradar.

Observe que as solicitações de API suportam um máximo de 8 Skills por solicitação (consulte Usando Skills com a API). Se uma função requer mais Skills do que uma única solicitação suporta, considere consolidar Skills estreitas em mais amplas ou rotear solicitações para diferentes conjuntos de Skill com base no tipo de tarefa.

Comece específico, consolide depois

Incentive as equipes a começarem com Skills estreitas e específicas de fluxo de trabalho em vez de amplas e multi-propósito. Conforme padrões emergem em sua organização, consolide Skills relacionadas em pacotes baseados em função.

Use avaliações para decidir quando consolidar. Mescle Skills estreitas em uma mais ampla apenas quando as avaliações da Skill consolidada confirmarem desempenho equivalente às Skills individuais que ela substitui.

Exemplo de progressão:

Início: formatting-sales-reports, querying-pipeline-data, updating-crm-records
Consolidar: sales-operations (quando evals confirmam desempenho equivalente)

Nomenclatura e catalogação

Use convenções de nomenclatura consistentes em toda a sua organização. A seção convenções de nomenclatura em melhores práticas fornece orientação de formatação.

Mantenha um registro interno para cada Skill com:

Propósito: Qual fluxo de trabalho a Skill suporta
Proprietário: Equipe ou indivíduo responsável pela manutenção
Versão: Versão atualmente implantada
Dependências: Servidores MCP, pacotes ou serviços externos necessários
Status de avaliação: Data e resultados da última avaliação

Pacotes baseados em função

Agrupe Skills por função organizacional para manter o conjunto ativo de Skill de cada usuário focado:

Equipe de vendas: Operações de CRM, relatórios de pipeline, geração de propostas
Engenharia: Revisão de código, fluxos de trabalho de implantação, resposta a incidentes
Finanças: Geração de relatórios, validação de dados, preparação de auditoria

Cada pacote baseado em função deve conter apenas as Skills relevantes para os fluxos de trabalho diários dessa função.

Distribuição e controle de versão

Controle de origem

Armazene diretórios de Skill no Git para rastreamento de histórico, revisão de código via pull requests e capacidade de reversão. Cada diretório de Skill (contendo SKILL.md e quaisquer arquivos agrupados) mapeia naturalmente para uma pasta rastreada pelo Git.

Distribuição baseada em API

A API de Skills fornece distribuição com escopo de área de trabalho. Skills carregadas via a API estão disponíveis para todos os membros da área de trabalho. Consulte Usando Skills com a API para endpoints de upload, versionamento e gerenciamento.

Estratégia de versionamento

Produção: Fixe Skills em versões específicas. Execute a suite de avaliação completa antes de promover uma nova versão. Trate cada atualização como uma nova implantação exigindo revisão de segurança completa.
Desenvolvimento e testes: Use versões mais recentes para validar mudanças antes da promoção para produção.
Plano de reversão: Mantenha a versão anterior como fallback. Se uma nova versão falhar nas avaliações em produção, reverta para a última versão conhecida como boa imediatamente.
Verificação de integridade: Calcule checksums de Skills revisadas e verifique-as no momento da implantação. Use commits assinados em seu repositório de Skill para garantir proveniência.

Considerações entre superfícies

Custom Skills não sincronizam entre superfícies. Skills carregadas para a API não estão disponíveis em claude.ai ou em Claude Code, e vice-versa. Cada superfície requer uploads e gerenciamento separados.

Mantenha arquivos de origem de Skill no Git como a única fonte de verdade. Se sua organização implanta Skills em múltiplas superfícies, implemente seu próprio processo de sincronização para mantê-las consistentes. Para detalhes completos, consulte disponibilidade entre superfícies.

Próximos passos

Visão geral de Agent Skills

Detalhes de arquitetura e plataforma

Melhores práticas

Orientação de autoria para criadores de Skill

Usando Skills com a API

Carregue e gerencie Skills programaticamente

Implantando agentes de IA com segurança

Padrões de segurança para implantação de agentes

Was this page helpful?

Habilidades de agente

Skills para empresas

Governança, revisão de segurança, avaliação e orientação organizacional para implantar Agent Skills em escala empresarial.

Revisão de segurança e avaliação

Implantar Skills em uma empresa requer responder a duas perguntas distintas:

As Skills são seguras em geral? Consulte a seção considerações de segurança na visão geral para detalhes de segurança em nível de plataforma.
Como faço para avaliar uma Skill específica? Use a avaliação de risco e a lista de verificação de revisão abaixo.

Avaliação de nível de risco

Avalie cada Skill em relação a estes indicadores de risco antes de aprovar a implantação:

Indicador de risco	O que procurar	Nível de preocupação
Execução de código	Scripts no diretório de Skill (`.py`, `.sh`, `*.js`)	Alto: scripts executam com acesso total ao ambiente
Manipulação de instruções	Diretivas para ignorar regras de segurança, ocultar ações dos usuários ou alterar o comportamento do Claude condicionalmente	Alto: pode contornar controles de segurança
Referências de servidor MCP	Instruções referenciando ferramentas MCP (`ServerName:tool_name`)	Alto: estende o acesso além da própria Skill
Padrões de acesso à rede	URLs, endpoints de API, chamadas `fetch`, `curl` ou `requests`	Alto: vetor potencial de exfiltração de dados
Credenciais codificadas	Chaves de API, tokens ou senhas em arquivos ou scripts de Skill	Alto: segredos expostos no histórico do Git e na janela de contexto
Escopo de acesso ao sistema de arquivos	Caminhos fora do diretório de Skill, padrões glob amplos, travessia de caminho (`../`)	Médio: pode acessar dados não intencionais
Invocações de ferramentas	Instruções direcionando Claude a usar bash, operações de arquivo ou outras ferramentas	Médio: revise quais operações são executadas

Lista de verificação de revisão

Antes de implantar qualquer Skill de um terceiro ou colaborador interno, conclua estas etapas:

Leia todo o conteúdo do diretório de Skill. Revise SKILL.md, todos os arquivos markdown referenciados e quaisquer scripts ou recursos agrupados.
Verifique se o comportamento do script corresponde ao propósito declarado. Execute scripts em um ambiente isolado e confirme que as saídas se alinham com a descrição da Skill.
Verifique se há instruções adversárias. Procure por diretivas que dizem ao Claude para ignorar regras de segurança, ocultar ações dos usuários, exfiltrar dados através de respostas ou alterar o comportamento com base em entradas específicas.
Verifique se há buscas de URL externas ou chamadas de rede. Pesquise scripts e instruções para padrões de acesso à rede (http, requests.get, urllib, curl, fetch).
Verifique se não há credenciais codificadas. Procure por chaves de API, tokens ou senhas em arquivos de Skill. As credenciais devem usar variáveis de ambiente ou armazenamentos de credenciais seguros, nunca aparecer no conteúdo de Skill.
Identifique as ferramentas e comandos que a Skill instrui Claude a invocar. Liste todos os comandos bash, operações de arquivo e referências de ferramentas. Considere o risco combinado quando uma Skill usa ferramentas de leitura de arquivo e rede juntas.
Confirme os destinos de redirecionamento. Se a Skill referencia URLs externas, verifique se apontam para domínios esperados.
Verifique se não há padrões de exfiltração de dados. Procure por instruções que leem dados sensíveis e depois os escrevem, enviam ou codificam para transmissão externa, incluindo através das respostas conversacionais do Claude.

Avaliando Skills antes da implantação

O que avaliar

Estabeleça portais de aprovação para estas dimensões antes de implantar qualquer Skill:

Dimensão	O que mede	Falha de exemplo
Precisão de acionamento	A Skill é ativada para as consultas corretas e permanece inativa para as não relacionadas?	Skill é acionada em cada menção de planilha, mesmo quando o usuário apenas quer discutir dados
Comportamento de isolamento	A Skill funciona corretamente por si só?	Skill referencia arquivos que não existem em seu diretório
Coexistência	Adicionar esta Skill degrada outras Skills?	A descrição da nova Skill é muito ampla, roubando acionadores de Skills existentes
Seguimento de instruções	Claude segue as instruções da Skill com precisão?	Claude pula etapas de validação ou usa bibliotecas erradas
Qualidade de saída	A Skill produz resultados corretos e úteis?	Relatórios gerados têm erros de formatação ou dados ausentes

Requisitos de avaliação

Para orientação detalhada sobre como construir avaliações, consulte avaliação e iteração em melhores práticas. Para metodologia geral de avaliação, consulte desenvolver casos de teste.

Usando avaliações para decisões de ciclo de vida

Os resultados da avaliação sinalizam quando agir:

Precisão de acionamento em declínio: Atualize a descrição ou instruções da Skill
Conflitos de coexistência: Consolide Skills sobrepostas ou restrinja descrições
Qualidade de saída consistentemente baixa: Reescreva instruções ou adicione etapas de validação
Falhas persistentes em atualizações: Descontinue a Skill

Gerenciamento de ciclo de vida de Skill

Planejar
Identifique fluxos de trabalho que são repetitivos, propensos a erros ou requerem conhecimento especializado. Mapeie-os para funções organizacionais e determine quais são candidatos para Skills.
Criar e revisar
Garanta que o autor da Skill siga melhores práticas. Exija uma revisão de segurança usando a lista de verificação de revisão acima. Exija uma suite de avaliação antes da aprovação. Estabeleça separação de funções: autores de Skill não devem ser seus próprios revisores.
Testar
Exija avaliações em isolamento (Skill sozinha) e ao lado de Skills existentes (testes de coexistência). Verifique a precisão de acionamento, qualidade de saída e ausência de regressões em seu conjunto ativo de Skill antes de aprovar para produção.
Implantar
Carregue via a API de Skills para acesso em toda a área de trabalho. Consulte Usando Skills com a API para upload e gerenciamento de versão. Documente a Skill em seu registro interno com propósito, proprietário e versão.
Monitorar
Rastreie padrões de uso e colete feedback dos usuários. Re-execute avaliações periodicamente para detectar desvio ou regressões conforme fluxos de trabalho e modelos evoluem. Análises de uso não estão disponíveis atualmente via a API de Skills. Implemente logging em nível de aplicação para rastrear quais Skills estão incluídas nas solicitações.
Iterar ou descontinuar
Exija que a suite de avaliação completa passe antes de promover novas versões. Atualize Skills quando fluxos de trabalho mudam ou pontuações de avaliação declinem. Descontinue Skills quando avaliações falham consistentemente ou o fluxo de trabalho é descontinuado.

Organizando Skills em escala

Limites de recall

Comece específico, consolide depois

Exemplo de progressão:

Início: formatting-sales-reports, querying-pipeline-data, updating-crm-records
Consolidar: sales-operations (quando evals confirmam desempenho equivalente)

Nomenclatura e catalogação

Use convenções de nomenclatura consistentes em toda a sua organização. A seção convenções de nomenclatura em melhores práticas fornece orientação de formatação.

Mantenha um registro interno para cada Skill com:

Propósito: Qual fluxo de trabalho a Skill suporta
Proprietário: Equipe ou indivíduo responsável pela manutenção
Versão: Versão atualmente implantada
Dependências: Servidores MCP, pacotes ou serviços externos necessários
Status de avaliação: Data e resultados da última avaliação

Pacotes baseados em função

Agrupe Skills por função organizacional para manter o conjunto ativo de Skill de cada usuário focado:

Equipe de vendas: Operações de CRM, relatórios de pipeline, geração de propostas
Engenharia: Revisão de código, fluxos de trabalho de implantação, resposta a incidentes
Finanças: Geração de relatórios, validação de dados, preparação de auditoria

Cada pacote baseado em função deve conter apenas as Skills relevantes para os fluxos de trabalho diários dessa função.

Distribuição e controle de versão

Controle de origem

Distribuição baseada em API

Estratégia de versionamento

Produção: Fixe Skills em versões específicas. Execute a suite de avaliação completa antes de promover uma nova versão. Trate cada atualização como uma nova implantação exigindo revisão de segurança completa.
Desenvolvimento e testes: Use versões mais recentes para validar mudanças antes da promoção para produção.
Plano de reversão: Mantenha a versão anterior como fallback. Se uma nova versão falhar nas avaliações em produção, reverta para a última versão conhecida como boa imediatamente.
Verificação de integridade: Calcule checksums de Skills revisadas e verifique-as no momento da implantação. Use commits assinados em seu repositório de Skill para garantir proveniência.

Considerações entre superfícies

Próximos passos

Visão geral de Agent Skills

Detalhes de arquitetura e plataforma

Melhores práticas

Orientação de autoria para criadores de Skill

Usando Skills com a API

Carregue e gerencie Skills programaticamente

Implantando agentes de IA com segurança

Padrões de segurança para implantação de agentes

Was this page helpful?