Cursos/Agentes y automatización/Skills seguras y auditables

Skills seguras y auditables

Una skill puede ser oro: encapsula una forma excelente de trabajar. También puede ser una puerta peligrosa si la instalas sin mirar. En esta lección aprendes a tratarlas como código: revisar, probar y limitar.

Objetivos de aprendizaje
  • Entender qué añade una skill y qué no debería hacer.
  • Auditar una skill antes de usarla en proyectos reales.
  • Crear una skill mínima con criterios de seguridad.
En cristiano: skill. Es una carpeta con instrucciones, ejemplos y a veces scripts que enseñan a Claude una forma concreta de trabajar. No es un plugin mágico: es conocimiento empaquetado.

Checklist antes de instalar una skill

  • Lee el SKILL.md completo.
  • Busca comandos destructivos: rm, curl | sh, cambios en ~/.ssh, tokens, exfiltración.
  • Revisa si pide acceso a red, navegador, sistema de archivos o secretos.
  • Comprueba si trae scripts y qué hacen.
  • Pruébala primero en un repo de juguete.
Terminal
rg -n "curl|wget|rm -rf|TOKEN|SECRET|\.env|ssh|chmod|sudo" ruta/de/la/skill
Cuidado. No instales skills como quien instala fondos de pantalla. Una skill influye en cómo piensa y actúa tu asistente dentro del proyecto. Si una instrucción te parece rara, no la ignores.

Una skill buena tiene límites

Ejemplo de buen alcance: “generar una auditoría de accesibilidad con pasos manuales y checks automáticos”. Ejemplo demasiado amplio: “optimizar cualquier web y aplicar todos los cambios necesarios”.

Terminal
---
name: qa-accessibilidad
description: Revisa accesibilidad web y propone cambios sin aplicarlos automáticamente.
---

Actúa como revisor de accesibilidad.
No modifiques archivos salvo que el usuario lo pida explícitamente.
Prioriza: contraste, navegación por teclado, etiquetas, estados de foco y textos alternativos.
Devuelve hallazgos con severidad y archivo.
Idea clave. La mejor skill no hace más cosas: reduce ambigüedad. Te da mejores encargos, mejor checklist y mejor salida.
Comprueba que funciona. Crea una skill local de solo lectura para revisar una página. Pruébala en una copia. Si el resultado es útil sin tocar archivos, ya tienes una skill segura para iterar.
Guardar y reabrir el proyecto.
Trata cada skill como dependencia: origen, versión, lectura, prueba y rollback. Si no puedes explicar qué hace, no debería estar en un proyecto importante.