Ch10. skills.sh 생태계 활용
skills.sh 추천 스킬, 설치, 조합 전략, 커스텀 스킬 배포
skills.sh 개요
skills.sh는 Vercel이 만든 AI 에이전트 스킬 패키지 매니저입니다. Claude Code, Cursor, Copilot 등 18+ 에이전트에서 사용할 수 있으며, 스킬은 에이전트에게 특정 도메인의 전문 지식을 제공하는 마크다운 파일입니다.
# 스킬 설치 (프로젝트 로컬)
npx add-skill vercel/react-best-practices
npx add-skill vercel/next-best-practices
# 전역 설치
npx add-skill vercel/react-best-practices --global설치된 스킬은 .claude/skills/ 디렉토리에 저장되며, Claude Code가 관련 작업을 감지하면 자동으로 해당 스킬의 지식을 활용합니다.
Vercel 공식 스킬
| 스킬 | 설치 수 | 용도 | 설치 명령 |
|---|---|---|---|
react-best-practices | 81K+ | React 성능 최적화, 컴포넌트 패턴 | npx add-skill vercel/react-best-practices |
next-best-practices | - | Next.js App Router 패턴, 데이터 페칭 | npx add-skill vercel/next-best-practices |
next-cache-components | - | Next.js 캐싱 전략, ISR, 스트리밍 | npx add-skill vercel/next-cache-components |
composition-patterns | - | React 합성 패턴, 상태 관리 | npx add-skill vercel/composition-patterns |
web-design-guidelines | 61K+ | UI/UX 디자인 원칙, 접근성 | npx add-skill vercel/web-design-guidelines |
vercel-deploy | - | Vercel 배포 최적화, 환경 설정 | npx add-skill vercel/vercel-deploy |
이 스킬들은 Vercel 엔지니어링팀의 10년+ React/Next.js 최적화 경험이 담긴 공식 스킬입니다.
인프라·보안 스킬
| 스킬 | 제공자 | 용도 |
|---|---|---|
postgres-best-practices | Supabase | PostgreSQL 쿼리 최적화, 인덱싱 |
agents-sdk | Cloudflare | Cloudflare Workers AI 에이전트 |
web-perf | Cloudflare | 웹 성능 최적화 |
wrangler | Cloudflare | Workers 배포·관리 |
static-analysis | Trail of Bits | 정적 보안 분석 |
differential-review | Trail of Bits | PR 기반 보안 변경 리뷰 |
neon-postgres | Neon | 서버리스 PostgreSQL |
terraform-skill | Anton Babenko | Terraform IaC 패턴 |
aws-skills | zxkane | AWS 인프라 설계 |
Anthropic 공식 스킬
| 스킬 | 용도 |
|---|---|
webapp-testing | Playwright 기반 웹앱 E2E 테스트 |
web-artifacts-builder | 웹 아티팩트 생성·빌드 |
# Anthropic 공식 스킬 설치
npx add-skill anthropic/webapp-testing프로젝트 단계별 추천 스킬 조합
| 단계 | 추천 스킬 | 이유 |
|---|---|---|
| 설계 | composition-patterns | 컴포넌트 아키텍처 결정 |
| 구현 | react-best-practices + next-best-practices | 코드 품질 기본선 확보 |
| 스타일 | web-design-guidelines | 접근성·UX 준수 |
| 데이터 | postgres-best-practices + next-cache-components | DB 최적화 + 캐싱 전략 |
| 테스트 | webapp-testing | E2E 테스트 자동 생성 |
| 배포 | vercel-deploy | 배포 설정 최적화 |
| 보안 | static-analysis + differential-review | PR 보안 리뷰 자동화 |
| 인프라 | terraform-skill + aws-skills | IaC 패턴 |
커스텀 스킬 제작
조직 내부의 도메인 지식을 스킬로 패키징하면, 팀원 전체의 Claude Code가 동일한 컨텍스트를 공유합니다.
<!-- .claude/skills/acme-api-patterns/SKILL.md -->
---
name: acme-api-patterns
description: ACME Corp API 설계 규칙과 패턴
triggers:
- API route
- endpoint
- REST
- GraphQL
---
# ACME API 패턴
## 규칙
1. 모든 엔드포인트는 `/api/v1/` 접두사 사용
2. 응답 형식: `{ data, error, meta }` 통일
3. 인증: Bearer token (Authorization 헤더)
4. 페이지네이션: cursor 기반 (offset 금지)
5. 에러 코드: HTTP 표준 + 내부 코드 병기# 팀 내부 스킬 공유 (Git 레포)
npx add-skill your-org/acme-api-patterns스킬 생태계 변화
skills.sh는 2026년 1월 출시된 신규 생태계입니다. 스킬 이름과 설치 수는 빠르게 변할 수 있으므로 skills.sh에서 최신 정보를 확인하세요.
AI 코딩 스킬 보안 감사 (2026-03)
2026년 3월 보안 연구에서 skills.sh 등록 22,511개 스킬 중 140,963개 보안 이슈가 발견되었습니다. 평균 스킬당 6.3개의 보안 문제가 존재한다는 의미입니다.
ClawHavoc 사건
가장 심각했던 사건은 ClawHavoc으로, 341개 악성 스킬이 의도적으로 배포된 공급망 공격입니다:
| 항목 | 내용 |
|---|---|
| 발견일 | 2026년 3월 |
| 악성 스킬 수 | 341개 |
| 공격 방식 | 정상 스킬을 모방한 타이포스쿼팅 + 프롬프트 인젝션 |
| 영향 | 에이전트가 악성 명령 실행, 시크릿 유출 가능 |
| 대응 | skills.sh에서 해당 스킬 전체 삭제, 서명 검증 도입 |
엔터프라이즈 스킬 보안 체크리스트
## 스킬 도입 전 보안 체크리스트
### 1. 출처 검증
- [ ] 공식 제공자(Vercel, Anthropic, Cloudflare 등) 스킬인가?
- [ ] GitHub 레포가 공개되어 있고 소스 확인이 가능한가?
- [ ] 제공자의 GitHub 조직이 Verified인가?
### 2. 콘텐츠 검토
- [ ] SKILL.md 내용에 의심스러운 명령이 없는가?
- [ ] 외부 URL 다운로드나 eval() 패턴이 없는가?
- [ ] 프롬프트 인젝션 패턴이 없는가?
### 3. 설치 정책
- [ ] 전역 설치(`--global`) 대신 프로젝트 로컬 설치 사용
- [ ] 설치된 스킬을 Git에 커밋하여 팀 전체가 동일 버전 사용
- [ ] 정기적으로 설치된 스킬의 업데이트 확인타이포스쿼팅 주의
react-best-practices와 react-best-practice (단수)처럼 이름이 유사한 스킬이 존재합니다.
설치 시 항상 공식 제공자명/스킬명 형식을 사용하고, skills.sh에서 Verified 배지를 확인하세요.
참고 문서
- skills.sh — 스킬 검색·설치 (영어)
- vercel-labs/agent-skills — Vercel 공식 스킬 소스 (영어)
- Vercel: Introducing Skills — skills.sh 소개 (영어)
- Introducing React Best Practices — react-best-practices 소개 (영어)