Claude Code Skills, die sich jetzt zu installieren lohnen (2026)
Sechsundsiebzig davon waren darauf ausgelegt, Ihre Anmeldeinformationen zu stehlen.
Diese Zahl stammt aus einem letzten Monat veröffentlichten Snyk-Audit. Sie scannten 3.984 Fertigkeiten aus der Registry skills.sh – dem agentenübergreifenden Fertigkeitsmarktplatz, den Vercel bereits im Januar startete – und stellten fest, dass 36 % eine Sicherheitslücke aufwiesen. Bei den meisten handelte es sich um schlampigen Code, nicht validierte Eingaben und einen zu weitreichenden Dateizugriff. Aber 76 waren wirklich böswillig. Als Flusenhelfer getarnte Keylogger. Token-Exfiltratoren, verpackt in unschuldig aussehende Formatierungskenntnisse. Einer gab sich als Markdown-Verschönerer aus, während er Ihre .env-Inhalte bei jedem Aufruf stillschweigend an einen externen Endpunkt verschickte.
Ich habe diesen Bericht an einem Freitagabend gelesen und sofort alle Fähigkeiten überprüft, die ich installiert hatte. Ich habe drei gezogen, was ich nicht vollständig überprüfen konnte. Zwei wurden durch Alternativen aus Quellen ersetzt, denen ich vertraue. Und dann saß ich mit einer Frage da, die mich seitdem beschäftigt: Wie kann jemand, bei mehr als 60.000 Fertigkeiten, die jetzt in der Registrierung gespeichert sind, Signal von Rauschen trennen, ohne versehentlich seine API-Schlüssel an einen Fremden weiterzugeben?
Darum geht es in diesem Beitrag eigentlich. Keine Liste mit „coolen Tools“. Eine gefilterte, getestete und eigenwillige Auswahlliste von 10 Claude-Code-Kenntnissen, die ich installiert, in realen Projekten verwendet habe und die ich ohne zu zögern einem anderen Entwickler empfehlen würde. Ich teile meine genauen Filterkriterien, die Installationsbefehle und – für jeden Skill – den spezifischen Moment, in dem ich dachte: „Okay, das hat tatsächlich meinen Arbeitsablauf verändert.“
Es gibt einen Haken bei einer dieser Fähigkeiten, die in einer rechtlichen Grauzone liegt. Ich werde ehrlich sein, wenn wir dort ankommen.
Der Filter, der 59.990 Fähigkeiten zerstört hat
Bevor ich die Liste durchgehe, müssen Sie verstehen, wie ich Fähigkeiten bewerte. Die Registrierung ist riesig. Das Sortieren nach der Anzahl der Installationen hilft, aber Beliebtheit ist nicht gleichbedeutend mit Sicherheit und Beliebtheit ist nicht gleichbedeutend mit Qualität. Ich habe Fertigkeiten mit mehr als 50.000 Installationen gesehen, die fast nichts Nützliches bewirkten.
Mein Filter hat vier Fragen. Ein Skill muss alle vier Punkte bestehen, sonst wird er nicht installiert:
Löst es einen echten Schmerz? Keine theoretische Unannehmlichkeit. Eine Sache, die mich tatsächlich verlangsamt oder bei echten Projekten zu schlechteren Ergebnissen führt. Wenn ich keinen bestimmten Moment im letzten Monat nennen kann, in dem diese Fähigkeit geholfen hätte, dann ist sie out.
Erspart es Echtzeit? Ich spreche von messbaren Minuten, nicht „es fühlt sich schneller an.“ Wenn die Einrichtungszeit plus Lernkurve das übersteigt, was ich in den ersten zwei Wochen sparen würde, lohnt sich der kognitive Mehraufwand nicht.
Ist die Quelle vertrauenswürdig? Hier hat der Snyk-Bericht mein Verhalten geändert. Ich überprüfe jetzt drei Dinge: Wer hat es veröffentlicht (Einzelperson oder etablierte Organisation), ob das Repo sichtbaren Code hat, den ich prüfen kann, und ob der Skill Berechtigungen anfordert, die seinem angegebenen Zweck entsprechen. Ein Markdown-Formatierer, der Netzwerkzugriff möchte? Deinstallieren.Kann ich testen, ob es funktioniert? Ich muss sehen, wie es ein Ergebnis liefert, das ich ohne es nicht erreicht hätte. Nicht unwesentlich besser – spürbar besser. Wenn ich einen Skill installiere und jemandem innerhalb von zehn Minuten kein konkretes Vorher/Nachher zeigen kann, besteht dieser Test nicht.
Zehn Fertigkeiten haben überlebt. Hier ist die erste – und sie macht es ganz einfach, die anderen neun zu finden.
1. find-skills – Der Registrierungsbrowser, den Sie zuerst installieren
Herausgeber: Vercel Labs | Installationen: 418K+
Das Kompetenzregister umfasst über 60.000 Einträge. Das Durchsuchen über eine Weboberfläche ist mühsam. Das Durchsuchen innerhalb von Claude Code, wo Sie diese Fähigkeiten tatsächlich nutzen werden, ist der offensichtliche Schritt – und genau das macht find-skills.
npx skills add https://github.com/vercel-labs/skills --skill find-skills
Hier erfahren Sie, wie ich es tatsächlich verwende. Letzte Woche habe ich ein neues Projekt gestartet, bei dem es um das Parsen von PDF-Rechnungen für die Buchhaltungspipeline eines Kunden geht. Anstatt mit der Alt-Tab-Taste zu einem Browser zu wechseln, die Registrierung zu durchsuchen, Beschreibungen zu lesen und Installationsbefehle zu kopieren, habe ich Claude direkt gefragt. „Finden Sie mir Fähigkeiten im Zusammenhang mit der PDF-Analyse.“ Die Suche ergab fünf Optionen mit Beschreibungen und Anzahl der Installationen, und ich wählte eine aus und installierte sie, ohne mein Terminal zu verlassen.
Die gesamte Interaktion dauerte vielleicht 40 Sekunden. Das allein ist nicht lebensverändernd. Aber multiplizieren Sie es bei jedem neuen Projekt, jedes Mal, wenn Sie sich fragen: „Hat jemand bereits eine Fähigkeit dafür entwickelt?“ – und die Gesamtzeitersparnis wird erheblich.
Eines schätze ich: Es zeigt Ihnen das Quell-Repository vor der Installation. Angesichts der Sicherheitslandschaft, die ich zuvor beschrieben habe, ist das wichtig. Sie können einen Blick darauf werfen, wer es erstellt hat, und eine schnelle Vertrauensentscheidung treffen, bevor irgendetwas Ihr System berührt.
Wenn Sie nichts anderes aus dieser Liste installieren, installieren Sie dieses. Es ist das Tor zu allem anderen. Apropos alles andere – der nächste Skill hat meine Herangehensweise an die UI-Arbeit mit Claude grundlegend verändert.
2. Frontend-Design – Die Fähigkeit, die verhinderte, dass meine Benutzeroberflächen KI-generiert aussahen
Herausgeber: Anthropic | Installationen: 124K+
Ich gebe etwas zu. Vor diesem Skill sah jede Benutzeroberfläche, die ich mit Claude erstellt habe, ... gut aus. Funktional. Sauber, sogar. Aber identisch mit jeder anderen KI-generierten Schnittstelle im Internet. Die gleichen abgerundeten Ecken, die gleichen Blau-Lila-Verläufe, die gleichen verdächtig perfekten Abstände, die sich irgendwie immer noch leblos anfühlten.
Das Problem waren nicht Claudes Programmierfähigkeiten. Das Problem bestand darin, dass Claude direkt von „Erstelle mir eine Landingpage“ zum Schreiben von HTML und CSS überging, ohne sich jemals Gedanken über die visuelle Ausrichtung zu machen. Keine Stimmung. Keine Palettenbegründung. Kein Typografiesystem. Einfach... standardmäßig guter Geschmack, was eine andere Art ist, überhaupt keinen Geschmack zu sagen.
npx skills add https://github.com/anthropics/skills --skill frontend-design -a claude-code
```Was Frontend-Design macht, ist täuschend einfach: Es zwingt Claude, sich auf eine echte visuelle Richtung festzulegen, bevor er eine einzige Codezeile schreibt. Wenn ich es aufrufe, stellt mir Claude drei bis fünf Fragen zu der Ästhetik, die ich anstrebe. Keine vagen Fragen wie „Welchen Stil möchten Sie?“ – spitze. Welche Emotionen soll die Seite hervorrufen? Wer ist das Publikum und was erwartet es visuell? Gibt es Marken, deren Ästhetik mit dem übereinstimmt, was Sie bauen?
Dann wird ein Designsystem festgelegt. Farbtoken, Typenskala, Abstandsrhythmus, Komponentenmuster. Erst wenn diese Grundlage vorhanden ist, wird mit dem Schreiben von Code begonnen.
Ich habe dies letzten Monat auf einer SaaS-Landingpage für ein Kundenprojekt über Ramlit verwendet. Die Ausgabe sah aus, als wäre ein Designer beteiligt gewesen. Nicht, weil Claude plötzlich Designer wurde, sondern weil seine Fähigkeit die gleichen Einschränkungen mit sich brachte, die ein guter Designer sich selbst auferlegen würde. Einschränkungen erzeugen Kohärenz. Kohärenz erzeugt das Gefühl von Qualität.
Der Unterschied zwischen „KI-generierter Benutzeroberfläche“ und „Benutzeroberfläche, die zufällig mit KI erstellt wurde“ besteht fast ausschließlich darin, ob jemand zuerst damit aufgehört hat, das visuelle System zu definieren. Diese Fähigkeit automatisiert diese Pause.
Eine gute visuelle Ausrichtung bedeutet jedoch nichts, wenn der zugrunde liegende Code Barrierefreiheitslücken und Leistungsprobleme aufweist. Hier verdient die nächste Fähigkeit ihren Platz.
## 3. Webdesign-Richtlinien – Über 100 Regeln, die Sie sich nicht merken müssen
**Herausgeber:** Vercel Labs | **Installationen:** 137.000+
Ich habe vor zwei Wochen eine Dashboard-Komponente versendet. Sah toll aus. Funktionierte perfekt in Chrome auf meinem MacBook. Dann habe ich die Prüfung dieses Skills durchgeführt und Claude hat sechs Probleme gefunden, die ich übersehen hatte: zwei Verstöße gegen die Barrierefreiheit (fehlende ARIA-Beschriftungen auf interaktiven Elementen, unzureichender Farbkontrast auf einer sekundären Schaltfläche), ein Leistungsproblem (ein nicht optimiertes Laden von Bildern über dem Falz ohne Berücksichtigung von Lazy-Load) und drei Layout-Inkonsistenzen, die bei kleineren Ansichtsfenstern zu Problemen geführt hätten.
```bash
npx skills add vercel-labs/agent-skills --skill web-design-guidelines -a claude-code
Vercel hat über 100 Regeln in diesen Skill gepackt – Barrierefreiheitsstandards, Best Practices für die Leistung, responsive Designmuster, semantische HTML-Konventionen. Claude vergleicht Ihren Code automatisch mit allen.
Hier ist der Unterschied zum Betrieb eines Linters. Linters fangen Syntaxprobleme auf. Dies fängt Design-Probleme auf. Dinge, die einem leitenden Frontend-Entwickler bei der Codeüberprüfung auffallen würden, ein Linter jedoch niemals melden würde. „Diese Schaltfläche ist technisch zugänglich, aber das Tippziel ist für Mobilgeräte zu klein.“ „Dieses Layout funktioniert, aber die visuelle Hierarchie führt das Auge nicht richtig.“ So ein Feedback.Ich habe damit begonnen, dies als letzte Prüfung vor jeder Frontend-PR durchzuführen. Es verlängert meinen Arbeitsablauf um vielleicht zwei Minuten und erfasst konsistent Dinge, die ich sonst versendet hätte. Zwei Minuten, die das „Oh, das ist mir nicht aufgefallen“-Gespräch in der Qualitätssicherung verhindern.
Die drei Fähigkeiten, die ich bisher behandelt habe, befassen sich mit Entdeckung, Design und Codequalität. Der nächste Schritt operiert auf einer völlig anderen Ebene – er verändert die Art und Weise, wie Claude denkt, bevor er etwas baut.
4. obra/superpowers – Die Denkphase, die Revisionszyklen verkürzt
Herausgeber: obra (Jesse Vincent) | Kategorie: Brainstorming
Dieser generiert keinen Code. Es berührt keine Dateien. Es entstehen keine sichtbaren Artefakte. Und es könnte die wirkungsvollste Fähigkeit auf dieser Liste sein.
npx skills add https://github.com/obra/superpowers --skill brainstorming -a claude-code
Superkräfte fügen eine Phase des strukturierten Denkens ein, bevor Claude mit der Ausführung beginnt. Wenn Sie Claude bitten, etwas zu erstellen – beispielsweise ein Authentifizierungssystem –, besteht das Standardverhalten darin, im Voraus zu bezahlen und sofort mit dem Schreiben von Code zu beginnen. Das ist schnell, aber es ist die Art von Schnelligkeit, die zu drei Runden von „Eigentlich brauche ich auch…“- und „Moment, was wäre mit...“-Überarbeitungen führt.
Während diese Fertigkeit aktiv ist, macht Claude eine Pause. Es bringt Einschränkungen zum Vorschein, die Sie nicht erwähnt haben. Randfälle, die Sie nicht berücksichtigt haben. Alternative Ansätze, die es wert sind, evaluiert zu werden. Fehlermodi, deren Entdeckung später teuer wäre.
Ich habe dies auf einem mandantenfähigen Authentifizierungssystem für ein Kundenprojekt getestet. Ohne die Fähigkeit hätte Claude einen perfekt funktionierenden Authentifizierungsablauf mit einer einzigen Strategie erstellt, den ich dann wiederholen müsste, wenn der Kunde erwähnte, dass er Google SSO, magische Links UND herkömmliche E-Mail/Passwort benötigt. Mit dem Skill fragte mich Claude im Voraus: Welche Authentifizierungsanbieter, welche Sitzungsstrategie, welche Multi-Tenant-Anforderungen, welche Token-Ablaufpräferenzen?
Die endgültige Implementierung war beim ersten Durchgang deutlich besser. Ich habe es einen Monat lang informell verfolgt – ungefähr 30 % weniger Überarbeitungsrunden bei Aufgaben, bei denen ich diese Fähigkeit genutzt habe, im Vergleich zu Aufgaben, bei denen ich sie nicht genutzt habe. Das ist keine wissenschaftliche Studie. Aber das Muster war konsistent genug, dass ich aufgehört habe, es zu deaktivieren.
Die Fähigkeit funktioniert, weil sie das nachahmt, was erfahrene Entwickler von Natur aus tun: Denken Sie vor dem Codieren. Die meisten von uns überspringen diesen Schritt, wenn wir KI verwenden, weil es vor allem um Geschwindigkeit geht. Diese Fähigkeit liefert überzeugend das Argument, dass eine zweiminütige Denkphase zwanzig Minuten Nacharbeit einspart.
Okay, besser denken ist mächtig. Aber wie wäre es mit dem Aufbau Ihrer eigenen Fähigkeiten, damit Claude so denkt, wie Sie es konkret brauchen? Das ist Fähigkeit Nummer fünf.
5. Skill-Creator – Erstellen Sie benutzerdefinierte Skills, ohne Code zu schreiben
Herausgeber: AnthropicJeder Entwickler hat Arbeitsabläufe, die er wiederholt. Codeüberprüfung mit spezifischen Kriterien. PR-Beschreibungen in einem bestimmten Format. Die Datenvalidierung prüft anhand eines bekannten Schemas. Sie erklären Claude diese Arbeitsabläufe, es funktioniert gut, und in der nächsten Sitzung erklären Sie sie erneut. Und noch einmal.
npx skills add https://github.com/anthropics/skills --skill skill-creator
Mit dem Skill-Creator können Sie jeden wiederholten Workflow in einen dauerhaften Claude-Code-Skill umwandeln, indem Sie ihn in einfacher Sprache beschreiben. Kein Code erforderlich. Sie sagen ihm, was Claude tun soll – die Schritte, das Format, die Einschränkungen – und es generiert eine vollständige SKILL.md-Datei, die Claude in zukünftigen Sitzungen automatisch lädt.
Ich habe einen /review-Skill für meinen eigenen Codeüberprüfungsprozess erstellt. Ich habe bestimmte Vorlieben: Ich möchte, dass Sicherheitsauswirkungen zuerst genannt werden, ich möchte, dass Leistungsbedenken von Stilbedenken getrennt werden, ich möchte eine Schweregradbewertung für jeden Befund und ich möchte, dass die Zusammenfassung in einem bestimmten Format vorliegt, das mein Team bei Ramlit erkennt. Vor diesem Skill habe ich das alles jedes Mal neu erklärt. Jetzt tippe ich /review und Claude weiß es bereits.
Der gesamte Prozess erforderte ein einziges Gespräch. Beschreiben Sie den Arbeitsablauf, beantworten Sie ein paar klärende Fragen und der Skill-Ersteller generiert die SKILL.md. Erledigt.
Hier liegt jedoch die wahre Stärke – und das habe ich erst zu schätzen gewusst, als ich drei oder vier benutzerdefinierte Fertigkeiten aufgebaut hatte. Diese Verbindung. Jeder benutzerdefinierte Skill entfernt eine weitere „Einrichtungs“-Konversation aus Ihrem Tag. Nach einem Monat beginnt Claude eine Sitzung und kennt bereits Ihr Überprüfungsformat, Ihren Commit-Nachrichtenstil, Ihre Dokumentationsstruktur und Ihre Testpräferenzen. Es entwickelt sich von einem leistungsstarken allgemeinen Assistenten zu Ihrem Assistenten. Dieser Wandel ist wichtiger als jede einzelne Fähigkeit auf dieser Liste.
Es gibt ein bestimmtes Tool in meinem Stack, das enorm von dieser Art der Anpassung profitiert hat: Obsidian. Und die nächste Fähigkeit ist speziell dafür entwickelt.
6. obsidian-skills – Weil Obsidian-Markdown kein regulärer Markdown ist
Herausgeber: kepano (Steph Ango, CEO von Obsidian)
Wenn Sie Obsidian nicht verwenden, fahren Sie mit Fertigkeit Nummer sieben fort. Wenn Sie Obsidian verwenden, wird Sie diese Fähigkeit vor einer bestimmten Frustration bewahren, die Sie wahrscheinlich bereits erlebt haben.
Standard-Markdown und Obsidian-Markdown sind nicht dasselbe. Obsidian verfügt über eine eigene Syntax für interne Links ([[note name]]), ein eigenes Abfragesystem (Bases, früher Dataview), Canvas-Layouts, Plugin-spezifische Blöcke und ein Dutzend anderer Erweiterungen, die Standard-Markdown-Generatoren – einschließlich Claude – nicht kennen.
Ohne diese Fähigkeit ist es eine Übung in manueller Korrektur, Claude zu bitten, Obsidian-kompatiblen Inhalt zu generieren. Interne Links werden als Standard-Markdown-Links ausgegeben. Basisabfragen werden als Codeblöcke statt als Live-Abfragen formatiert. Canvas-Referenzen brechen vollständig.
/plugin marketplace add kepano/obsidian-skills
Oder klonen Sie es manuell in das Verzeichnis .claude/ in Ihrem Vault.
Ich verwende Obsidian als mein zweites Gehirn für Projektnotizen, Recherchen und Schreibentwürfe. Als ich Claude bat, eine Forschungsnotiz mit internen Links zu drei vorhandenen Notizen, einer Bases-Abfrage für verwandte Seiten und einem Canvas-Layout zu erstellen – ohne diese Fähigkeit gingen alle drei kaputt. Damit klappte es gleich beim ersten Versuch.
Die Tatsache, dass dies von Steph Ango selbst – dem CEO von Obsidian – stammt, gibt mir Zuversicht, dass es aktuell bleiben wird, während sich die Syntax von Obsidian weiterentwickelt. Das ist wichtig für ein Werkzeug, das ich täglich verwende.
Der Umfang dieser Fertigkeit ist begrenzt. Es macht eine Sache. Aber für Obsidian-Benutzer erfüllt es diese eine Sache perfekt, und keine andere Fähigkeit in der Registrierung kommt dem nahe. Jetzt – vom persönlichen Wissensmanagement bis zum professionellen Dokumentenhandling. Der nächste Skill (oder besser gesagt die Skill-Familie) löst ein Problem, das mich seit dem Start von Claude Code nervt.
7. PDF / DOCX / PPTX / XLSX – Dokumentparsing, das tatsächlich funktioniert
Herausgeber: Anthropic
Claude Code kann die meisten Dokumentformate nicht nativ lesen. Sie können natürlich Text einfügen. Aber geben Sie ihm ein PDF und fragen Sie nach Seite 34? Ein DOCX mit eingebetteten Tabellen? Eine Excel-Tabelle mit mehreren Registerkarten? Ohne dediziertes Parsen kopieren und fügen Sie Inhalte manuell ein, verlieren Formatierungen, Tabellen fehlen und verschwenden Zeit, die Sie für die eigentliche Arbeit aufwenden könnten.
npx skills add https://github.com/anthropics/skills --skill pdf
npx skills add https://github.com/anthropics/skills --skill docx
Es gibt passende Fähigkeiten für PPTX und XLSX, die demselben Muster aus demselben Anthropic-Repository folgen.
Das ist der Moment, in dem das für mich unverzichtbar wurde. Ein Kunde schickte uns einen 40-seitigen SaaS-Vertrag als PDF. Sie wollten, dass ich die technischen Verpflichtungen durchprüfe – Verfügbarkeits-SLAs, Anforderungen an die Datenresidenz, API-Ratenbegrenzungen, die in den Geschäftsbedingungen vergraben sind. Normalerweise sind das 90 Minuten sorgfältiges Lesen, Vergleichen der Klauseln und Erstellen einer Zusammenfassung.
Ich legte die PDF-Datei in meinem Projektverzeichnis ab, rief den Skill auf und bat Claude, alle Kündigungsklauseln, Haftungsbeschränkungen und Dateneigentumsbedingungen zu extrahieren. Klare, strukturierte Zusammenfassung in 45 Sekunden. Kein grober Überblick – eine Aufschlüsselung nach Abschnitten mit Seitenverweisen.
Ich selbst habe den Vertrag danach noch gelesen. Ich lagere die rechtliche Prüfung nicht an eine KI aus. Aber da ich Claudes Zusammenfassung als Karte hatte, wusste ich genau, worauf ich meine Aufmerksamkeit richten musste. Aus den 90 Minuten wurden 25.
Diese Skill-Familie ist langweilig. Das Parsen von Dokumenten ist nichts Aufregendes. Aber langweilige Tools, die pro Verwendung eine Stunde sparen, sind mehr wert als auffällige Tools, die Sie einmal aufrufen und dann vergessen. Apropos Werkzeuge, die Recherchezeit sparen: Die nächsten beiden Fähigkeiten kümmern sich um eine Art Recherche, die von einem Terminal aus traditionell mühsam durchzuführen ist.
8. x-research-skill – Twitter-Recherche ohne die 100-Dollar-API-Rechnung pro Monat
Herausgeber: rohunvora
Ich muss diesbezüglich offen sein. Es funktioniert. Es ist wirklich nützlich. Und es bewegt sich in einer Grauzone, die Sie vor der Installation verstehen sollten.Die offizielle API von Twitter kostet für jeden sinnvollen Zugriff mindestens 100 US-Dollar pro Monat. Das ist die Basic-Stufe. Für ernsthafte Recherchen – Benutzer-Timelines abrufen, Tweets nach Schlüsselwörtern durchsuchen, Threads analysieren – sollten Sie sich die Pro-Stufe oder höher ansehen. Für einen unabhängigen Entwickler, der gelegentlich Nachforschungen anstellt, sind diese Kosten kaum zu rechtfertigen.
Diese Fähigkeit umgeht die API vollständig. Es nutzt die TLS-Client-Emulation, um Tweets, Threads und Benutzer-Timelines direkt abzurufen. Kein API-Schlüssel, keine monatliche Gebühr. Sie erhalten die volle Recherchefähigkeit Ihres Terminals.
mkdir -p .claude/skills
cd .claude/skills
git clone https://github.com/rohunvora/x-research-skill.git x-research
Sie müssen Bun installiert und eine Umgebungsvariable X_BEARER_TOKEN festgelegt haben.
Ich habe dies für die Inhaltsrecherche verwendet – um zu verstehen, wie Entwickler über ein Framework sprechen, bevor ich darüber schreibe, um die tatsächlichen Schwachstellen aufzudecken, die die Leute erwähnen (die sich oft von denen unterscheiden, auf die sich Blog-Beiträge konzentrieren), und um die Stimmung bei neuen Versionen zu verfolgen. Letzten Monat habe ich die letzten 50 Tweets herausgesucht, in denen eine bestimmte Funktion von Claude Code erwähnt wurde, habe die Stimmung zusammengefasst und die drei am häufigsten wiederholten Beschwerden identifiziert. Der gesamte Vorgang dauerte weniger als zwei Minuten.
Nun der ehrliche Teil. Die TLS-Emulation zur Umgehung von API-Einschränkungen ist eine Grauzone. In den meisten Gerichtsbarkeiten ist dies nicht illegal – es gibt kein Gesetz, das HTTP-Anfragen verbietet, die wie ein Browser aussehen. Es umgeht jedoch das beabsichtigte Zugriffsmodell von Twitter, und die Nutzungsbedingungen der Plattform sind eine gesonderte Überlegung. Ich verwende dies für Forschungszwecke, nicht für Automatisierung oder Scraping im großen Maßstab. Ihre Risikotoleranz kann von meiner abweichen.
Ich überlegte, ob ich diese Fähigkeit einbeziehen sollte. Ich habe es aufgenommen, weil es ein echtes Problem löst – Twitter ist eine wichtige Quelle für die Stimmung von Entwicklern und ich sollte nicht 1.200 US-Dollar pro Jahr für die Suche bezahlen müssen – aber ich wollte, dass Sie das vollständige Bild haben.
Der nächste Skill basiert auf einer ähnlichen Prämisse: „Auf etwas zugreifen, das normalerweise blockiert ist“, jedoch mit einem völlig anderen technischen Ansatz.
9. reddit-fetch – Reddit-Recherche durch eine Gemini-Hintertür
Herausgeber: ykdojo
Reddit blockiert Anfragen von KI-Agenten. Wenn Sie versucht haben, Reddit-Inhalte von Claude Code abzurufen, sind Sie an dieser Stelle angelangt. Die Anfragen werden abgelehnt und Sie können wieder Threads manuell durchsuchen und Zitate kopieren und einfügen.
Dieser Skill verfolgt einen kreativen Ansatz: Er leitet über tmux über die Gemini-CLI weiter, die über Live-Webzugriff verfügt, und gibt die Ergebnisse dann an Claude zurück. Es ist im Wesentlichen ein Relais. Claude bittet Gemini, den Reddit-Inhalt abzurufen, was Gemini tut (da der Crawler-Zugriff von Google auf Reddit eingerichtet ist) und der Inhalt kehrt zu Ihrer Claude-Sitzung zurück.
npx skills add https://github.com/ykdojo/claude-code-tips --skill reddit-fetch
Damit dies funktioniert, muss Gemini CLI installiert und authentifiziert sein.Ich verwende dies für die gleiche Art von Recherche wie die Twitter-Fähigkeit, jedoch für ein anderes Publikum. Reddit-Threads über Entwicklertools enthalten eine Rohheit, die man in Blogbeiträgen oder Tweets nicht findet. Auf Reddit beschweren sich die Leute ehrlicher. Sie beschreiben detailliert ihre tatsächlichen Frustrationen. Wenn ich ein Tool entwickle oder über eine Technologie schreibe, ist es von unschätzbarem Wert, die tatsächlichen Beschwerden zu kennen – und nicht die ausgefeilte Version des „konstruktiven Feedbacks“.
Letzte Woche habe ich Top-Threads von R/Programming zu einem Bereitstellungstool abgerufen, das ich evaluierte. Die wiederkehrende Frustration bezog sich nicht auf die Funktionen des Tools (die in jeder Rezension behandelt werden), sondern darauf, dass sein Upgrade-Pfad bestehende Konfigurationen kaputt macht. Das ist die Art von Signal, die eine technische Entscheidung ändert. Ich hätte es nicht gefunden, indem ich das Änderungsprotokoll oder die Blogbeiträge des Tools gelesen hätte.
Achtung: Diese Fähigkeit hängt davon ab, dass Gemini CLI weiterhin über den Webzugriff verfügt und dass tmux in Ihrer Umgebung verfügbar ist. Wenn einer dieser Fehler auftritt, funktioniert die Fertigkeit nicht mehr. Es handelt sich um eine Abhängigkeitskette, und Abhängigkeitsketten sind fragil. Ich benutze es seit etwa sechs Wochen ohne Probleme, würde aber keinen kritischen Workflow darauf aufbauen.
Wir haben uns mit Forschung, Design, Denken, Dokumentenanalyse und Workflow-Automatisierung befasst. Die letzte Fähigkeit geht an einen anderen Ort – an einen Ort, der mir angesichts meiner Arbeit in der Cybersicherheit sehr am Herzen liegt. Es findet Schwachstellen in Ihrem Code, bevor sie Sie finden.
10. Trailofbits/Skills – Sicherheitsscans von den Besten der Branche
Herausgeber: Trail of Bits
Trail of Bits ist kein zufälliges GitHub-Konto. Sie sind eines der angesehensten Sicherheitsforschungsunternehmen der Welt. Zu ihrer Kundenliste gehören große Protokollprüfungen, Fortune-500-Aufträge und grundlegende Arbeiten an Tools wie Slither, Echidna und Manticore. Wenn Trail of Bits Sicherheitstools veröffentlicht, bin ich aufmerksam.
/plugin marketplace add trailofbits/skills
/plugin menu
Diese Skill-Suite integriert die statische CodeQL- und Semgrep-Analyse direkt in Ihren Claude Code-Workflow. Anstatt Sicherheitsscanner separat auszuführen, Berichte in einem anderen Fenster zu überprüfen und dann wieder zur Fehlerbehebung überzugehen, führt Claude die Analyse durch, interpretiert die Ergebnisse und kann die Probleme in derselben Sitzung beheben.
Ich habe dies mit einem Authentifizierungsmodul getestet, das ich gerade geschrieben hatte. Claude hat zwei potenzielle Injektionsschwachstellen gemeldet – eine in der Eingabevalidierungsschicht, die ich als „gut genug“ erachtet hatte, und eine in einer Datenbankabfrage, die ich falsch parametrisiert hatte – sowie eine Timing-Angriffsfläche in der Token-Vergleichsfunktion. Subtiles Zeug. Die Art von Erkenntnissen, die eine standardmäßige Codeüberprüfung überstehen würden, nicht aber eine dedizierte Sicherheitsüberprüfung.
Alle drei konnten in weniger als zehn Minuten repariert werden. Ohne den Scan wären sie in die Produktion gegangen. Mit meinem Hintergrund bei xCyberSecurity wäre die Ironie, anfälligen Authentifizierungscode auszuliefern, besonders schmerzhaft gewesen.Dies ist die Fähigkeit, die ich am dringendsten jedem empfehle, der Code schreibt, der die Authentifizierung, die Zahlungsabwicklung oder Benutzerdaten verwaltet. Die statische Analyse ist kein Ersatz für einen vollständigen Penetrationstest – sie erkennt jedoch die Schwachstellen, die in der Praxis für die Mehrzahl der Sicherheitsverletzungen verantwortlich sind. Die Ausführung kostet Sie fünf Minuten. Es kostet Sie viel mehr, es nicht laufen zu lassen, wenn etwas schief geht.
Die Fähigkeit, die es fast auf die Liste geschafft hätte
Ich möchte eines erwähnen, das meinen Filter nicht ganz bestanden hat: eine Fähigkeit zur Analyse des Shell-Verlaufs, die Ihre am häufigsten verwendeten Befehle verfolgt und Aliase vorschlägt. Clevere Idee. Aber als ich es getestet habe, war die Zeitersparnis marginal – vielleicht 30 Sekunden pro Tag – und es erforderte einen dauerhaften Zugriff auf den Shell-Verlauf, der sich wie mehr Oberfläche anfühlte, als ich offenlegen wollte. Es löste ein echtes Ärgernis, aber keinen wirklichen Schmerz. Schließen, aber mein Filter existiert aus einem bestimmten Grund.
Es gab auch eine Fähigkeit zur Visualisierung von Datenbankschemata mit anständigen Installationszahlen. Schöne Ausgabe, aber ich konnte sie nicht mit etwas vorführen, was ich mit einem schnellen \d+ in psql oder einem DataGrip-Diagramm noch nicht konnte. Die Frage „Kann ich testen, ob es funktioniert?“ Test hat es getötet.
Ich erwähne diese, weil der Filter wichtiger ist als die Liste. Fähigkeiten werden kommen und gehen. Morgen werden neue auf den Markt kommen, die vielleicht mehr als die Hälfte von dem sind, was ich hier empfohlen habe. Der Filter schützt Sie davor, 40 Fähigkeiten zu installieren, die Sie nie nutzen werden, und gleichzeitig die drei zu verpassen, die Ihren Arbeitsablauf verändern würden.
Ein Hinweis zur Sicherheit – denn 76 bösartige Fähigkeiten sind keine kleine Zahl
Ich habe diesen Beitrag mit den Snyk-Ergebnissen begonnen und möchte den Kreis darüber schließen, bevor ich zum Abschluss komme.
36 % der gescannten Fähigkeiten wiesen Sicherheitslücken auf. Das ist mehr als jeder Dritte. Und 76 davon waren aktiv bösartig – darauf ausgelegt, Anmeldeinformationen zu stehlen, Daten zu exfiltrieren oder eine Persistenz auf Ihrem Computer herzustellen. Dies ist kein theoretisches Risiko. Dies ist der aktuelle Zustand des Ökosystems im März 2026.
Folgendes mache ich praktisch:
Quellenüberprüfung. Ich bevorzuge stark Fähigkeiten von Anthropic, Vercel Labs und etablierten Organisationen (Trail of Bits, Kepano/Obsidian). Bei einzelnen Herausgebern lese ich vor der Installation den Quellcode. Ja, tatsächlich gelesen. SKILL.md-Dateien sind normalerweise kurz genug, um sie in fünf Minuten durchzusehen.
Berechtigungsbewusstsein. Erfordert der Skill Fähigkeiten, die seinem Zweck entsprechen? Ein PDF-Parser benötigt Dateilesezugriff. Ein Twitter-Recherchetool benötigt Netzwerkzugriff. Ein Codeformatierer, der beides will? Verdächtig.
Die Anzahl der Installationen ist nicht vertrauenswürdig. Hohe Installationszahlen bedeuten Beliebtheit, nicht Sicherheit. Der Snyk-Bericht entdeckte schädliche Fähigkeiten bei Tausenden von Installationen. Menschen installieren Dinge, ohne sie zu prüfen. Seien Sie nicht diese Leute.Regelmäßige Audits. Einmal im Monat gehe ich meine installierten Fähigkeiten durch und frage: Benutze ich das noch? Wird das Repo weiterhin gepflegt? Hat sich an den Berechtigungen etwas geändert? Wenn ich nicht sicher antworten kann, entferne ich es.
Das Kompetenzökosystem ist leistungsstark. Es ist außerdem jung, weitgehend unmoderiert und wächst schneller, als irgendjemand mitbekommen kann. Behandeln Sie es wie jedes andere Paket-Ökosystem – mit Begeisterung, gemildert durch Vorsicht.
Was ändert sich, wenn Sie diese tatsächlich installieren?
Ich möchte auf die kumulative Wirkung näher eingehen, da die einzelnen Fähigkeitsbeschreibungen diese unterschätzen.
Bevor ich diesen Stack übernommen habe, war eine typische Claude-Code-Sitzung mit vielen Setup-Gesprächen verbunden. Erkläre meine Bewertungspräferenzen. Definieren der visuellen Richtung für eine Benutzeroberfläche. Manuelles Zuführen von Dokumentinhalten. Sicherheitsscans in einem separaten Terminal ausführen. Durchsuchen Sie Reddit auf meinem Telefon, um die Meinung der Entwickler zu einer Bibliothek zu überprüfen, bevor Sie sich darauf festlegen.
Danach – und dies dauerte etwa zwei Wochen der schrittweisen Einführung und keine Transformation über Nacht – verschwand der größte Teil dieser Reibung. Claude startet Sitzungen mit meinen bereits geladenen Workflows. Die Designarbeit beginnt mit einem echten ästhetischen Gespräch statt mit Standardentscheidungen. Die Dokumentenanalyse erfolgt im Terminal. Sicherheitsscans sind Teil des Build-Prozesses und kein nachträglicher Einfall.
Die Zeitersparnis ist real, aber schwer genau zu quantifizieren. Meine grobe Schätzung: 40–60 Minuten pro Tag bei allen kleinen Effizienzsteigerungen. Ein Teil davon ist eine direkte Zeitersparnis (Dokumentenanalyse, Recherche). Einige davon sind indirekt (weniger Revisionszyklen durch besseres Vordenken, weniger Fehler durch automatisierte Sicherheitsüberprüfungen). Manches ist nur der verstärkende Effekt, wenn kleine Reibungen beseitigt werden – die Art, die einzeln trivial erscheinen, aber insgesamt Ihren Fokus fragmentieren.
Der wichtigere Wandel ist qualitativer Natur. Claude Code hat sich von einem Werkzeug, das ich verwende, zu einem Werkzeug entwickelt, das weiß, wie ich arbeite. Das ist eine andere Beziehung zu Ihren Werkzeugen, und es lohnt sich, sie bewusst aufzubauen.
Dein Umzug
Sie brauchen nicht alle zehn davon. Möglicherweise benötigen Sie nicht die Hälfte davon. Aber ich würde darauf wetten: Mindestens zwei oder drei lösen ein Problem, an dem Sie gerade manuell arbeiten. Und die erste – find-skills – lässt sich in 30 Sekunden installieren und macht das Auffinden der anderen ganz einfach.
Hier liegt also die Herausforderung. Bevor Sie diese Registerkarte schließen, öffnen Sie Ihr Terminal und führen Sie Folgendes aus:
npx skills add https://github.com/vercel-labs/skills --skill find-skills
Das ist es. Ein Befehl. Von dort aus können Sie die Registrierung innerhalb von Claude Code erkunden, Fähigkeiten anhand Ihrer eigenen Filterkriterien bewerten und einen Stack erstellen, der zu Ihrer Arbeitsweise passt – nicht zu meiner Arbeitsweise oder der Arbeitsweise anderer.Das Kompetenz-Ökosystem ist chaotisch, schnelllebig und gelegentlich gefährlich. Es ist außerdem der derzeit größte Kraftmultiplikator, der Claude-Code-Benutzern zur Verfügung steht. Die Entwickler, die frühzeitig ihren persönlichen Skill-Stack ermitteln, werden schneller bauen, sauberer liefern und Probleme früher erkennen als diejenigen, die weiterhin Claude Code Vanilla verwenden.
Es gibt 60.000 Fähigkeiten. Du brauchst vielleicht zehn. Wählen Sie sie sorgfältig aus, prüfen Sie sie ehrlich und lassen Sie sie zusammenwachsen.
Welches installierst du zuerst?
Lasst uns zusammenarbeiten
Möchten Sie KI-Systeme aufbauen, Arbeitsabläufe automatisieren oder Ihre technische Infrastruktur skalieren? Ich würde gerne helfen.
- Fiverr (benutzerdefinierte Builds und Integrationen): fiverr.com/s/EgxYmWD
- Portfolio: mejba.me
- Ramlit Limited (Unternehmenslösungen): ramlit.com
- ColorPark (Design & Branding): colorpark.io
- xCyberSecurity (Sicherheitsdienste): xcybersecurity.io
