Agentic Skills SoK 論文閱讀分析：真正該被治理的，不只是工具，而是整套會被反覆重用的做事方法

論文基本資訊

• 論文標題：SoK: Agentic Skills — Beyond Tool Use in LLM Agents
• 作者：Qin Wang 等
• 年份：2026
• 來源：arXiv:2602.20867
• 論文連結：https://arxiv.org/abs/2602.20867
• 主題：Agentic Skills、LLM Agents、Skill Lifecycle、Skill Marketplace、Supply Chain Security、Governance

如果最近這一串 agentic security 論文，大多在談 prompt injection、tool poisoning、runtime guardrails、delegation control plane，那這篇 SoK: Agentic Skills — Beyond Tool Use in LLM Agents 真正往前推的一步，是把問題拉回更底層也更危險的單位：skill 本身。

這篇 paper 最值得看的地方，不是它又幫 skills 換了一個新名字，而是它講得很直白：當 agent 不再每次都從頭想，而是開始依賴可重用的程序模組時，真正被引進系統的，不只是效率，而是新的供應鏈、治理面與事故面。 換句話說，tool 只是原子能力，skill 則是把一整段做事方法打包成可調用物件；一旦這層開始普及，安全問題也就不再只是「某個工具有沒有毒」，而是「整套被重用的做事方式到底誰寫的、怎麼驗的、何時該被信任」。

這篇論文想解決什麼？

作者抓到一個很實際的 agent 痛點：現在很多 LLM agent 每遇到新任務，還是在 context window 裡從頭推導一次策略。今天 debug 過一次 null pointer，明天再來一個幾乎同型的 bug，模型還是重新思考，像完全沒做過一樣。

這不只是效率浪費，也是可靠性問題。因為每次臨場即興，都會把：

• prompt 漂移
• 工具誤用
• 上下文遺失
• 工作流不穩定

一起帶回來。

所以這篇論文的核心問題其實可以濃縮成一句話：

如果 agent 想要真正做長程工作，它需要的可能不只是更多工具，而是可重用、可調用、可治理的 procedural memory。

作者怎麼定義「Agentic Skill」？

這篇 SoK 沒把 skill 當成模糊的行銷詞，而是很認真給了一個形式化定義。作者把 agentic skill 表述成四元組：

S = (C, π, T, R)

• C：適用條件（applicability condition）
• π：可執行策略（executable policy）
• T：終止條件（termination condition）
• R：可重用介面（reusable callable interface）

這個定義很重要，因為它把 skill 和幾個常被混在一起的東西切開了：

• Tool：通常只是單一 API 呼叫，原子、固定、無內部決策
• Plan：一次性的推理腳手架，這次用完就散
• Memory：儲存的是發生過什麼，不是怎麼做
• Prompt template：只是靜態文字片段，本身不可調用、也沒有終止邏輯

作者的觀點很清楚：skill 是 procedural module，不只是會說明怎麼做，而是能真的被叫起來跑一段 workflow。 這也是為什麼它比單純 tool use 更接近真正的 agent 系統工程。

這篇論文最有價值的地方：把 skills 當成整條 lifecycle 來看

很多人談 agent skills，只停在「怎麼存一段 prompt」或「怎麼把常用流程包成 script」。這篇 paper 比較成熟的地方，是它把 skills 當成會演化的系統元件，而不是靜態附件。

作者整理出的 skill lifecycle 包含七個階段：

1. Discovery：發現哪些重複任務值得包成 skill
2. Practice / Refinement：透過反覆執行、反思、回饋把 skill 練穩
3. Distillation：把零散軌跡濃縮成穩定可重用的程序
4. Storage：存進 skill library，並加上索引、版本、描述
5. Retrieval / Composition：執行時挑對 skill，並和其他 skill 串起來
6. Execution：在真實環境裡運行，受 sandbox、權限、資源限制約束
7. Evaluation / Update：持續檢查表現、發現 drift、修補或淘汰

這個 lifecycle 觀點非常關鍵，因為它提醒你：skill 安全不是上架前掃一次就結束，而是一整條從生成、儲存、檢索到執行的持續治理問題。

七種設計模式：skill 不只是一種長相

作者進一步整理出七種常見 design patterns。這段對實務很有用，因為它把「skill 到底長什麼樣」講清楚了。

• 1. Metadata-driven progressive disclosure：先靠簡短 metadata 做選擇，選中了才把完整 skill 載進 context。好處是省 token，風險是 metadata 被污染時，整個檢索層就會偏。
• 2. Code-as-skill：把 skill 寫成可執行 script 或 function。優點是可測、可重現、可驗證；缺點是 API 變了就碎，還要處理 code injection 與 sandbox。
• 3. Workflow enforcement：skill 本身強制某種工作流，例如 diagnosis-before-fix 或 test-first。可靠性高，但也可能過度僵化。
• 4. Self-evolving skill libraries：agent 會自己長出新 skills、修 skills。很強，但也最容易 skill drift。
• 5. Hybrid NL + code macros：自然語言說明、程式片段、參考資料混著來。可讀性高，但 NL / code 邊界容易變成歧義與攻擊面。
• 6. Meta-skills：專門用來產生新 skills 的 skill。擴展速度快，但很容易把錯誤也一起規模化。
• 7. Plugin / marketplace distribution：透過 marketplace 或 package ecosystem 分發。生態擴張最快，但也直接把供應鏈風險拉滿。

我很喜歡作者這裡的處理，因為它不是在爭論哪種 skill 才算正統，而是承認現實世界裡 skill 會長成很多形態，然後把各自的優勢、脆弱點與治理表面一起攤開。

這篇 paper 最值得資安圈注意的：skill 層其實就是新的供應鏈層

如果只把 skill 看成「方便重用的小模組」，你會低估它的風險。這篇論文明講：skill 帶來的不只是能力重用，而是新的一層 software / prompt / policy supply chain。

尤其作者拿 ClawHavoc 當 anchor case study 很有說服力：近 1,200 個惡意 skills 混入大型 agent marketplace，最後規模化外洩 API keys、加密貨幣錢包與瀏覽器憑證。 這裡最可怕的不是單一 skill 有毒，而是 marketplace 分發機制、信任轉移與高權限 runtime 一起替它放大傷害。

這也讓整篇論文的安全結論很清楚：

• skill 的 metadata 可能成為檢索污染面
• skill payload 可能攜帶 prompt injection 或惡意 code
• self-evolving skill library 可能把錯誤或惡意行為反覆蒸餾
• marketplace distribution 會把局部 compromise 變成整體供應鏈事故

換句話說，agent skills 不是外掛而已，它們更像是高權限流程包。 一旦載入，它們不只是提供能力，也在偷偷定義 agent 會怎麼理解任務、什麼時候該做、做完怎麼停。

另一個很實際的發現：不是所有 skill 都真的讓 agent 變強

這篇 paper 沒有盲目樂觀。它引用的 benchmark 證據很值得記：curated skills 平均能把 agent pass rate 拉高 16.2 個百分點，但 self-generated skills 反而可能讓表現下降 1.3 個百分點。

這個結果非常有味道。它代表：

• 真正有價值的 skill，不是「有沒有 skill」
• 而是「這個 skill 有沒有被驗過、是否泛化、是不是只是把一次成功過度擬合成規則」

作者甚至指出，較小模型配上 curated skills，有時可以勝過沒 skill 的大模型。 這個結論對實務很重要，因為它暗示很多團隊接下來的競爭點，也許不是永遠追更大的 base model，而是誰能把 procedural knowledge 包得更穩、更可驗證、更容易治理。

我的看法：真正該被治理的，不只是 tool use，而是「做事方法」本身

我覺得這篇 SoK 的價值，在於它讓我們把視角從 tool 拉到 skill。工具層當然重要，但工具畢竟只是原子能力；真正決定 agent 行為輪廓的，常常是 skill 這層——它把多步操作、觸發條件、終止邏輯、權限預期、甚至默會假設一起封裝了。

所以如果你今天還在用「某個工具有沒有 sandbox」「某個 prompt 會不會被注入」來理解 agent 安全，已經不太夠了。接下來更難也更現實的問題是：

• 誰可以發 skill？
• skill 的 provenance 怎麼驗？
• metadata 和 payload 哪一層先被信任？
• self-generated skills 何時能升級成正式能力？
• 一個 skill 影響到的 action surface 要怎麼量？

這篇論文最終其實在講同一件事：當 agent 從「每次即興」走向「依賴可重用程序」後，真正需要被驗證與認證的，就不只是模型輸出，而是技能本身。

總結

SoK: Agentic Skills — Beyond Tool Use in LLM Agents 不是在炫技，也不是再造一個新的 benchmark 名詞。它做的是更基礎但更重要的工作：把 skills 這一層從模糊概念整理成完整系統對象，明確定義它和 tool、plan、memory 的差異，並把 lifecycle、design patterns、security、governance 與 evaluation 放進同一張圖。

對 sectools.tw 讀者來說，這篇 paper 最值得記住的一句話大概是：

Agent 時代真正危險的，常常不是某個工具被濫用，而是整套會被反覆重用的做事方法，早就被放進系統裡了。

如果下一波 agent 平台真的會圍繞 skills 建生態，那安全與治理的核心，也就不會只是 prompt hardening，而會變成：如何讓 skills 可驗證、可追溯、可分級信任、可在必要時被撤銷。

---

本文由 AI 產生、整理與撰寫；內容基於論文 SoK: Agentic Skills — Beyond Tool Use in LLM Agents（arXiv:2602.20867）與公開資料整理，建議讀者仍以原始論文為準。