# Guia Definitivo: Skills Directory

> Como usar o skillsdirectory.com para encontrar, avaliar e instalar skills verificadas para Claude Code e outros agentes.

Source: https://agentify.ia.br/blog/skillsdirectory/

O skillsdirectory.com é o diretório de skills para agentes de codificação que leva segurança a sério. Com mais de 36.000 skills escaneadas e um pipeline de análise automatizada com 50+ regras de detecção, a plataforma se posiciona como o lugar onde você encontra skills que *realmente* funcionam — sem surpresas desagradáveis escondidas no código.

Se você usa Claude Code e quer especializar seu agente sem correr o risco de instalar uma skill maliciosa, este é o guia que vai te levar do zero ao domínio completo da plataforma.

## Overview

### O que é o Skills Directory

O Skills Directory (skillsdirectory.com) é um diretório verificado de skills para agentes de codificação, com foco principal no ecossistema Claude da Anthropic. Diferente de repositórios abertos onde qualquer um publica qualquer coisa, aqui cada skill passa por análise de segurança automatizada antes de aparecer no catálogo.

A proposta é simples: ser o lugar onde você busca skills com confiança de que elas não vão roubar suas credenciais, exfiltrar dados ou injetar prompts maliciosos no seu agente.

### Números atuais

- **36.109 skills** escaneadas no diretório

- **94% de taxa de aprovação** (Grade A)

- **50+ regras de detecção** de segurança

- **10 categorias de ameaças** cobertas

- **10.155 stars** no GitHub do OpenSkills CLI

### Modelo de execução

O Skills Directory opera em duas frentes:

- **Web** — interface de busca, filtros por categoria, visualização de skills com grade de segurança

- **CLI** — via OpenSkills (`npm install -g openskills`), que instala skills direto no seu terminal e sincroniza com `AGENTS.md` ou `.claude/skills/`

### Preço

 Tier Requests/Dia Preço Free 100 $0 Pro 1.000 $29/mês Enterprise 10.000 $199/mês

O uso básico (buscar e instalar skills via web ou CLI) é gratuito. Os planos pagos são para acesso à API programática — busca semântica com embeddings, metadados completos de segurança e conteúdo integral das skills.

### Diferencial vs concorrentes

O que separa o Skills Directory de outros catalogadores como skills.sh, agentskill.sh ou skillscatalog.ai é o **pipeline de segurança obrigatório**. Não é opcional, não é um badge decorativo — toda skill é escaneada antes de ser listada.

O contexto justifica essa obsessão: o estudo ToxicSkills da Snyk (fevereiro de 2026) encontrou que **36% das skills disponíveis publicamente têm falhas de segurança**. A campanha ClawHavoc (janeiro de 2026) plantou 341 skills maliciosas em um único ataque coordenado. O Skills Directory nasceu como resposta direta a esse cenário.

## Tutorial

### Instalação do OpenSkills CLI

O OpenSkills é o CLI oficial que conecta o Skills Directory ao seu ambiente de desenvolvimento. Funciona com Claude Code, Cursor, Windsurf, Aider, Codex e qualquer agente que leia `AGENTS.md`.

**Pré-requisitos:**

- Node.js 20.6+

- Git instalado

```
# Instalação global
npm install -g openskills

# Ou use via npx (sem instalação)
npx openskills install anthropics/skills
```

### Primeiro uso: buscando e instalando uma skill

Vamos instalar sua primeira skill. O fluxo mais direto é pelo site:

**Passo 1** — Acesse [skillsdirectory.com/skills](https://skillsdirectory.com/skills)

**Passo 2** — Use a busca. Digite algo como “code review”, “git workflow” ou “testing”

**Passo 3** — Avalie a skill:

- Verifique o **grade de segurança** (A é o ideal)

- Leia a descrição e tags

- Confira o autor e repositório de origem

**Passo 4** — Copie o comando de instalação da página da skill

```
# Exemplo: instalar de um repositório GitHub
git clone https://github.com/username/skill-name ~/.claude/skills/skill-name
```

**Passo 5** — Verifique a instalação

```
# Listar skills instaladas
ls ~/.claude/skills/

# Ou via OpenSkills
npx openskills list
```

[IMAGEM: Screenshot mockup da interface de busca do Skills Directory mostrando resultados filtrados com grades de segurança]

### Uso intermediário: instalação via CLI e sincronização

Para quem trabalha com múltiplos projetos, o fluxo via CLI é mais eficiente:

```
# Instalar skills do marketplace oficial da Anthropic
npx openskills install anthropics/skills

# Instalar de qualquer repositório GitHub
npx openskills install your-org/your-skills

# Instalar de um path local
npx openskills install ./local-skills/my-skill

# Instalar de repositório privado
npx openskills install git@github.com:your-org/private-skills.git
```

Após instalar, sincronize com seu `AGENTS.md`:

```
npx openskills sync
```

Esse comando atualiza o `AGENTS.md` do seu projeto com o bloco `<available_skills>` — o formato que Claude Code e outros agentes usam para descobrir skills disponíveis.

**Instalação por escopo:**

 Flag Destino Uso (padrão) ./.claude/skills/ Projeto atual --global ~/.claude/skills/ Todos os projetos --universal ./.agent/skills/ Multi-agente (evita conflito com Claude)

### Configuração avançada: multi-agente

Se você usa Claude Code **e** outros agentes (Cursor, Codex, etc.) no mesmo projeto, instale com `--universal` para evitar conflitos:

```
npx openskills install anthropics/skills --universal
```

A ordem de prioridade de carregamento é:

- `./.agent/skills/` (maior prioridade)

- `~/.agent/skills/`

- `./.claude/skills/`

- `~/.claude/skills/`

Skills no nível de projeto sempre sobrescrevem skills globais com o mesmo nome.

### Usando a API programaticamente

Para automações e integrações, o Skills Directory oferece uma API REST:

```
# Buscar skills por termo
curl -H "Authorization: Bearer sk_live_sua_chave" \
 "https://skillsdirectory.com/api/v1/skills?q=testing&category=development"

# Buscar apenas skills verificadas (Grade A)
curl -H "Authorization: Bearer sk_live_sua_chave" \
 "https://skillsdirectory.com/api/v1/skills?verified=true&securityGrade=A"
```

A resposta inclui paginação, metadados de rate limit e, nos planos Pro/Enterprise, score de segurança detalhado e busca semântica com embeddings.

## Deep Dive

### O processo de verificação de segurança

Aqui é onde o Skills Directory realmente se diferencia. Cada skill submetida passa por análise estática com 50+ regras de detecção distribuídas em 10 categorias de ameaças:

 Categoria O que detecta Execution eval() , child_process , shell pipes, execução dinâmica Network IPs hardcoded, requests HTTP, WebSocket, DNS lookups File System Path traversal, diretórios sensíveis, operações destrutivas Obfuscation Base64, character codes, strings hex-encoded Credentials SSH keys, padrões de API key, keychain access, env harvesting Persistence Cron jobs, startup scripts, systemctl, launchctl Prompt Injection Override de instruções, developer mode, impersonação de sistema, unicode smuggling Data Exfiltration Exfil de credenciais via curl, envio de env vars para URLs Hidden Helpers Downloads de código externo, arquivos protegidos por senha, encriptação Supply Chain Remote exec pipes, npm install em runtime, postinstall hooks

[IMAGEM: Diagrama do pipeline de segurança mostrando as 10 categorias de ameaças]

### Sistema de scoring

Cada skill começa com score 100. Pontos são deduzidos conforme a severidade dos achados:

 Severidade Penalidade Critical -25 pontos High -15 pontos Medium -8 pontos Low -3 pontos Info 0 pontos

Achados de baixa confiança recebem 50% de redução na penalidade. Achados dentro de code fences em markdown (exemplos de código) também recebem penalidade reduzida — uma decisão inteligente que minimiza falsos positivos.

O grade final:

 Grade Score Significado A 90-100 Sem problemas significativos B 75-89 Preocupações menores, geralmente seguro C 60-74 Alguns problemas, revisão recomendada D 40-59 Preocupações significativas F 0-39 Problemas críticos de segurança

Por padrão, o diretório mostra apenas skills Grade A. Você pode alterar esse filtro, mas o default protege quem não está prestando atenção.

### O cenário de ameaças que justifica tudo isso

Se você acha que segurança de skills é paranoia, considere os incidentes documentados:

**Snyk ToxicSkills (fevereiro 2026)** — A maior auditoria de skills até hoje. 3.984 skills escaneadas, 1.467 com payloads maliciosos: roubo de credenciais, backdoors, exfiltração de dados. 13,4% tinham problemas críticos que pattern matching simples não detectaria.

**ClawHavoc Campaign (janeiro 2026)** — Ataque coordenado de supply chain. 341 skills maliciosas entregando Atomic macOS Stealer via instruções falsas de pré-requisitos. Um único ator uploadou 354 pacotes. A Bitdefender encontrou ~20% de todos os pacotes do ClawHub como maliciosos.

**Cato CTRL MedusaLocker (dezembro 2025)** — Pesquisadores weaponizaram uma Claude Skill para deployar ransomware real. Um helper script oculto rodava silenciosamente junto com o script principal aprovado — o “consent gap” entre o que o usuário aprova e o que realmente executa.

### Compatibilidade com Claude Code e CLAUDE.md

O Skills Directory usa o formato nativo da Anthropic para skills. Isso significa compatibilidade direta com:

- **Claude Code CLI** — skills instaladas em `~/.claude/skills/` são detectadas automaticamente

- **Claude.ai (Web)** — via Settings > Features > Add custom skill

- **CLAUDE.md** — o arquivo de regras de projeto que Claude Code lê automaticamente

A estrutura de uma skill é um arquivo `SKILL.md` com frontmatter YAML:

```
---
name: code-review
description: Reviews code for bugs, security issues, and style violations.
 Use when reviewing pull requests or checking code quality.
version: 1.0.0
author: Skills Directory
tags:
- development
- code-quality
---

# Code Review Skill

## Overview
Describe what this skill helps with.

## Instructions
Step-by-step instructions for Claude to follow.

## Examples
Input/output examples.
```

**Locais de instalação reconhecidos pelo Claude Code:**

 Local Escopo Prioridade .claude/skills/ Projeto atual Maior ~/.claude/skills/ Todos os projetos Menor

Skills no nível de projeto sobrescrevem skills globais com o mesmo nome — útil para customizações por repositório.

### Skills vs MCP: quando usar cada um

Uma confusão comum é achar que skills e MCP (Model Context Protocol) competem. Eles são complementares:

- **Skills** = conhecimento e workflows (o que fazer)

- **MCP** = ferramentas e acesso a dados (como fazer)

 Aspecto MCP Skills Propósito Acesso a ferramentas e dados Conhecimento e workflows Analogia Mãos Cérebro/expertise Exemplo ”Pode ler/escrever arquivos" "Como organizar arquivos”

Na prática: MCP dá ao Claude a capacidade de acessar o GitHub. Uma skill ensina *como* fazer code review de forma consistente. Juntos, o agente acessa o PR via MCP e aplica o checklist de review via skill.

### Categorias disponíveis

O Skills Directory organiza skills em 10 categorias:

- **Development** — code review, testing, refactoring, debugging

- **Marketing** — copywriting, SEO, analytics

- **Research** — pesquisa, análise, síntese

- **Writing** — documentação, artigos, comunicação

- **Business** — estratégia, planejamento, operações

- **Design** — UI/UX, design systems, acessibilidade

- **Data & Analytics** — análise de dados, visualização, BI

- **Productivity** — automação, workflows, organização

- **Legal** — compliance, contratos, regulamentação

- **Other** — skills que não se encaixam nas anteriores

### Collections (coleções curadas)

Além de skills individuais, o diretório oferece **collections** — conjuntos curados de skills agrupadas por tema. A collection em destaque atualmente é “Context Engineering Skills” por muratcankoylan, com 589 skills focadas em context engineering, arquiteturas multi-agente e sistemas de produção.

### Publicando sua própria skill

O processo para publicar uma skill verificada no Skills Directory:

**Passo 1** — Crie a estrutura da skill:

```
my-skill/
├── SKILL.md # Instruções principais
├── references/ # Documentação estendida (opcional)
│ ├── examples.md
│ └── api-docs.md
├── scripts/ # Scripts auxiliares (opcional)
└── assets/ # Recursos (opcional)
```

**Passo 2** — Escreva o `SKILL.md` seguindo o formato:

```
---
name: my-awesome-skill
description: >
 Descrição clara do que a skill faz e quando usar.
 Inclua keywords que o usuário diria ao precisar dela.
version: 1.0.0
author: Seu Nome
tags:
- categoria-principal
- subcategoria
---

# Nome da Skill

## Overview
O que essa skill faz.

## When to Use
Cenários que ativam essa skill.

## Instructions
Processo passo-a-passo para o Claude seguir.

## Output Format
Como as respostas devem ser estruturadas.

## Examples
Exemplos de input/output.

## Notes
Contexto adicional ou avisos.
```

**Passo 3** — Publique em um repositório GitHub público

**Passo 4** — Submeta em [skillsdirectory.com/submit](https://skillsdirectory.com/submit)

A skill passa pelo pipeline de segurança automatizado. Se receber Grade A (score 90-100), aparece no diretório. Se tiver problemas, você recebe feedback sobre o que corrigir.

**Dicas para aprovação:**

- Evite `eval()`, `child_process` ou execução dinâmica de código

- Não inclua IPs hardcoded ou requests HTTP desnecessários

- Não acesse diretórios sensíveis (`~/.ssh`, `~/.aws`, etc.)

- Use exemplos em code fences (reduz falsos positivos no scanner)

- Mantenha a descrição clara e com keywords relevantes

### Integração com o ecossistema: OpenSkills como ponte universal

O OpenSkills CLI (10.155 stars no GitHub) é o que torna o Skills Directory verdadeiramente universal. Ele implementa a especificação de skills da Anthropic e gera o mesmo XML `<available_skills>` que Claude Code usa internamente.

Isso significa que uma skill do Skills Directory funciona em:

- Claude Code (nativo)

- Cursor (via AGENTS.md)

- Windsurf (via AGENTS.md)

- Aider (via AGENTS.md)

- Codex (via AGENTS.md)

- Qualquer agente que leia AGENTS.md

```
# Instalar, sincronizar e usar
npx openskills install anthropics/skills
npx openskills sync
npx openskills read code-review # Carrega a skill para o agente
```

O comando `openskills read` é o que os agentes invocam para carregar uma skill sob demanda — progressive disclosure que mantém o contexto limpo.

Se você desenvolve skills e quer alcançar o maior público possível, publicar no Skills Directory com compatibilidade OpenSkills é a estratégia mais abrangente disponível hoje.

> 💡 **Dica**: Se você quer criar skills profissionais para o ecossistema Claude, confira o [skilldev.pro](https://skilldev.pro) — nosso marketplace focado em skills de alta qualidade para agentes de codificação.

## Prós e Contras

### Prós

- **Segurança como prioridade #1** — O pipeline de 50+ regras em 10 categorias de ameaças é o mais robusto entre os catalogadores. Num cenário onde 36% das skills públicas têm falhas, isso não é luxo — é necessidade.

- **Compatibilidade nativa com Claude Code** — Usa o formato SKILL.md da Anthropic sem adaptações. Skills instaladas funcionam imediatamente, sem configuração extra.

- **OpenSkills CLI como ponte universal** — Não te prende ao Claude. O mesmo skill funciona em Cursor, Codex, Aider e qualquer agente que leia AGENTS.md. 10K+ stars no GitHub validam a adoção.

- **API bem documentada** — Endpoints REST com paginação, filtros, busca semântica (Pro+). Permite automações e integrações programáticas.

- **Documentação educativa** — Seções como “Skills vs MCP”, “Getting Started” e “Creating Your First Skill” tornam a plataforma acessível mesmo para quem nunca trabalhou com skills.

- **Transparência no scoring** — O sistema de grades (A-F) com penalidades documentadas por severidade permite que você entenda exatamente *por que* uma skill recebeu determinada nota.

- **Volume expressivo** — 36.109 skills é um catálogo substancial. Com 94% em Grade A, a maioria está pronta para uso imediato.

### Contras

- **Foco em análise estática** — O scanner detecta padrões conhecidos, mas não executa as skills em sandbox. Uma skill sofisticada que evite os 50+ patterns pode passar despercebida. Análise estática é necessária mas não suficiente.

- **Sem curadoria editorial profunda** — A verificação é automatizada. Não há revisão humana do *conteúdo* da skill (se as instruções são boas, se o workflow faz sentido). Uma skill pode ser segura mas inútil.

- **API paga para features essenciais** — Busca semântica, conteúdo completo das skills e score de segurança detalhado exigem plano Pro ($29/mês). Para uso individual casual, pode ser barreira.

- **Dependência do GitHub** — Skills são hospedadas em repositórios GitHub. Se o repo é deletado ou tornado privado, a skill some do diretório. Não há mirror ou cache permanente [VERIFICAR: se há cache de conteúdo].

- **Ecossistema ainda jovem** — Collections curadas são poucas (apenas uma em destaque atualmente). A comunidade está crescendo mas ainda não tem a densidade de um npm ou PyPI.

- **Sem versionamento granular no diretório** — Você instala a versão atual da skill. Não há mecanismo nativo de pinning de versão ou rollback no diretório (embora o Git do repo permita isso manualmente).

### Veredicto

**Ideal para:**

- Desenvolvedores que usam Claude Code como agente principal

- Times que precisam de governança sobre quais skills são permitidas

- Quem quer instalar skills sem auditar manualmente cada arquivo

- Projetos multi-agente que precisam de compatibilidade universal via OpenSkills

**Não é ideal para:**

- Quem busca skills para agentes fora do ecossistema Anthropic/AGENTS.md (embora o OpenSkills mitigue isso)

- Quem precisa de curadoria editorial além de segurança

- Uso pesado de API sem orçamento para plano Pro

O Skills Directory é a escolha mais segura entre os catalogadores de skills disponíveis em 2026. Se segurança é prioridade — e deveria ser, dado o cenário atual de ataques — este é o diretório para começar.

---

*Quer levar suas skills para o próximo nível? No [skilldev.pro](https://skilldev.pro) você encontra skills profissionais prontas para uso e pode publicar as suas para a comunidade.*

-->