Dominando Agent Skills na Pratica

Tech Talk — 30 minutos que vao mudar como voce trabalha com agentes de IA.

Publico-alvo

Desenvolvedores de software que usam (ou querem usar) agentes de IA no dia a dia.

Timeline da Apresentacao

00:00 - 05:00

Introducao e Origem

O que sao skills, quem criou, ferramentas que usam e o case real (json_comparator).

05:00 - 10:00

Anatomia e Qualidade

Skills globais vs projeto. Comparacao: skill ruim vs skill boa.

10:00 - 20:00

Hands-on (Pratica)

Criar skill simples, usar skill avancada, modificar, adaptar para Codex.

20:00 - 25:00

Q&A e Encerramento

Espaco para duvidas e reflexao.

25:00 - 27:30

Seguranca

Riscos reais, Prompt Injection, como se defender.

27:30 - 30:00

Repositorios e Proximos Passos

Onde encontrar skills seguras e como continuar.

30 min

Exposicao dinamica + Hands-on pratico

6 Secoes

Da teoria a pratica, passando por seguranca

Multi-Agente

Claude Code, Cursor, Codex, Gemini CLI

1. Introducao e Origem

00:00 - 05:00 • 5 minutos

O que sao Agent Skills?

Skills sao pacotes modulares de instrucoes, scripts e recursos que ensinam agentes de IA a executar tarefas especificas com alta precisao. Em vez de depender apenas do conhecimento geral do modelo, as skills fornecem o contexto procedural exato do seu time ou empresa.

A Origem do Padrao Aberto

O conceito foi introduzido pela Anthropic (criadora do Claude) em dezembro de 2025, que lancou as Agent Skills como um padrao aberto. A aceitacao foi imediata — apenas tres dias apos o anuncio, a OpenAI adotou silenciosamente o mesmo padrao para o Codex e ChatGPT.

Ferramentas que Utilizam Skills

Claude Code

Anthropic — criador do padrao

Cursor

Via diretorios .cursor/skills/

OpenAI Codex

Adotou o padrao em 3 dias

Google Gemini CLI

Suporte nativo ao padrao

Manus

Agente autonomo

OpenClaw+

Integracoes corporativas

Case Real: json_comparator

Por que criar skills?

Problema: Voce sempre precisa comparar JSONs (baseline vs current), e explicar isso toda vez ao agente consome tokens.

Solucao: Criou uma skill com instrucoes prontas, regras semanticas claras e exemplos.

Resultado: Economiza tokens, garante consistencia, funciona em qualquer agente (Cursor, Codex, etc).

Mentalidade

Skills nao sao para "brincar" — sao para otimizar processos reais e gerar lucro de tempo.

2. Anatomia e Qualidade

05:00 - 10:00 • 5 minutos

Escopo: Global vs Projeto

Tipo	Local	Visibilidade	Compartilhamento
Projeto	`.agents/skills/` ou `.cursor/skills/`	Apenas naquele repositorio	Via Git (compartilhada com time)
Global	`~/.cursor/skills/`	Todos os projetos do dev	Local na maquina do dev

Prioridade

A ordem de prioridade sempre favorece as skills de projeto caso haja conflito com skills globais.

Comparacao: Skill Ruim vs Skill Boa

Skill Ruim

Descricao vaga: "Valida dados de usuario"
Instrucoes em prosa longa
Sem regras exatas de validacao
Mistura exemplos e instrucoes
Nao preve tratamento de erros

Skill Boa

Descricao com triggers claros
Estrutura de pastas: /scripts, /references, /assets
Passos numerados no imperativo
Regras claras em tabelas
Formato de saida esperado em Markdown
Delega complexidade para scripts

Estrutura Ideal de uma Skill

Estrutura de pastas

my-skill/
  SKILL.md          # Instrucoes para o agente
  scripts/          # Scripts auxiliares (Python, Bash, etc)
  references/       # Docs de referencia
  assets/           # Arquivos estaticos
  examples/         # Exemplos de uso

3.0 Invocar Skills

Automatico vs Explicito • 1 minuto

Modo Automatico (Padrao)

A skill tem disable-model-invocation: false (ou omitido). O agente detecta automaticamente quando usar.

Exemplo

# Voce diz:
"Compara esses 2 JSONs"

# O agente ve a skill json_comparator com descricao
# "Compara dois ficheiros JSON..."
# e executa sozinho!

Modo Explicito (Slash Command)

A skill tem disable-model-invocation: true. Voce forca o agente a usar digitando /nome-da-skill.

Exemplo

# Voce digita:
/json_comparator

# Fornece os arquivos.
# O agente OBRIGATORIAMENTE usa essa skill.

Dica Pratica

Se o agente nao esta usando a skill quando deveria, adicione disable-model-invocation: true e use o slash command. Controle total.

3.1 Criar uma Skill Simples

Hands-on • 2 minutos

Passo 1: Criar a estrutura

Terminal

mkdir -p ~/.cursor/skills/validate-user-data
cd ~/.cursor/skills/validate-user-data
touch SKILL.md

Passo 2: Escrever o SKILL.md

SKILL.md

---
name: validate-user-data
description: >
  Valida dados de usuario (email, nome, telefone)
  seguindo regras de negocio.
  Use quando o usuario pedir para validar um cadastro.
disable-model-invocation: false
---

# Validate User Data

## Quando usar
- Usuario pede para validar cadastro
- Dados de formulario precisam de verificacao

## Passos
1. Extraia o email do input
2. Valide formato do email (RFC 5322)
3. Valide nome (min 2 caracteres, sem numeros)
4. Valide telefone (formato brasileiro)

## Regras de Validacao

| Campo    | Regra                        | Exemplo Valido     |
|----------|------------------------------|--------------------|
| Email    | RFC 5322, dominio existente  | user@empresa.com   |
| Nome     | 2-100 chars, sem numeros     | Maria Silva        |
| Telefone | +55 (XX) XXXXX-XXXX         | +55 (11) 99999-0000|

## Formato de Saida
Retorne em Markdown:
- Status: VALIDO ou INVALIDO
- Campos com erro (se houver)
- Sugestao de correcao

Seu Turno

Crie sua propria skill! Pense em um processo repetitivo do seu dia a dia e transforme em uma skill.

3.2 Usar a Skill Avancada

Case real: json_comparator • 2 minutos

Instalacao

Terminal

# Global (disponivel em todos os projetos)
cp -r json_comparator ~/.cursor/skills/

# Projeto (apenas neste repo)
cp -r json_comparator .cursor/skills/

Estrutura da json_comparator

Estrutura

json_comparator/
  SKILL.md              # Descricao detalhada + triggers
  scripts/
    compare_payloads.py # Logica pesada de comparacao
  examples/
    baseline.json       # JSON de referencia
    current.json        # JSON para comparar

Demonstracao

No Cursor / Claude Code

# Diga ao agente:
"Compara esses 2 JSONs"

# O agente reconhece a skill, executa o script
# compare_payloads.py e retorna o resultado formatado.

# Opcoes CLI da skill:
--list-match-key    # Chave para matching em arrays
--write-sorted-*    # Salvar JSONs ordenados

Diferenca clara

A skill simples (validate-user-data) tem apenas instrucoes. A skill avancada (json_comparator) tem instrucoes + scripts Python + exemplos. Ambas seguem o mesmo padrao.

3.3 Modificar e Adaptar Skills

Iteracao rapida + portabilidade • 3 minutos

Modificar Manualmente

Editar SKILL.md

# Abra no editor:
~/.cursor/skills/validate-user-data/SKILL.md

# Adicione um novo passo:
"Step 4: Sempre formate o resultado em tabela Markdown"

# Salve. Pronto!

Modificar pelo Chat (O Jeito IA)

Prompt para o agente

"Edite o arquivo .cursor/skills/validate-user-data/SKILL.md
e adicione uma regra para validar tambem a idade
(deve ser entre 18 e 120)"

A IA abre o arquivo, faz a alteracao, salva. Voce ve o diff. Aprova ou pede ajustes. A IA melhora sua propria "mente".

Adaptar para Codex (Portabilidade)

Terminal

# Copie para o Codex:
cp -r json_comparator .codex/skills/
# ou
cp -r json_comparator .agents/skills/

# Execute na CLI do Codex:
codex "Compara esses 2 JSONs" \
  --file1 baseline.json \
  --file2 current.json

# A mesma skill funciona. Zero reescrita.

Isso e interoperabilidade

O padrao aberto garante que a mesma skill funciona em Claude Code, Cursor, Codex, Gemini CLI — sem nenhuma reescrita necessaria.

3.5 Explorar Repositorios de Skills

Onde encontrar skills prontas • 2 minutos

agentskills.io

Catalogo oficial do padrao de Agent Skills

awesome-agent-skills

Colecao curada no GitHub com 13k+ stars (VoltAgent)

Repositorios Oficiais

Organizacao	Repositorio	Tipo
Anthropic	`anthropics/skills`	Oficial
OpenAI	`openai/skills`	Oficial
Vercel	`vercel-labs/agent-skills`	Comunidade Verificada
VoltAgent	`VoltAgent/awesome-agent-skills`	Curadoria (13k stars)

Como instalar do GitHub

Cursor

# No Cursor:
# Settings -> Rules -> Add Remote Rule (Github)
# Cole a URL do repositorio da skill

# Ou manualmente:
git clone https://github.com/user/skill-name
cp -r skill-name ~/.cursor/skills/

4. Q&A e Encerramento

20:00 - 25:00 • 5 minutos

Espaco para Perguntas

Tire suas duvidas sobre skills, implementacao, e como aplicar no seu dia a dia.

Perguntas Frequentes

P: Skills consomem tokens?

O SKILL.md e carregado no contexto quando ativado, mas a economia vem de nao precisar re-explicar processos complexos toda vez. O saldo e positivo.

P: Posso usar a mesma skill no Cursor e no Claude Code?

Sim! O padrao e aberto e interoperavel. Basta copiar a pasta para o diretorio correto de cada ferramenta.

P: Skills de projeto vs globais — quando usar cada?

Projeto: quando a skill e especifica daquele codigo/time (ex: deploy rules). Global: quando e generica e voce usa em varios projetos (ex: json_comparator).

P: Como sei se uma skill pública e segura?

Inspecione o SKILL.md antes de usar. Procure por comandos ofuscados (base64), "ignore instrucoes anteriores", URLs suspeitas. Use uvx mcp-scan@latest --skills para auditar.

Mentalidade de Eficiencia

Usem skills para automatizar processos repetitivos e gerar lucro de tempo. Se nao otimiza, e entretenimento. Skills sao uma ferramenta estrategica, nao um fim em si mesma.

5. Seguranca

25:00 - 27:30 • 2.5 minutos

O Perigo Oculto (Estudo ToxicSkills)

Um estudo recente da Snyk (Fevereiro de 2026) analisou milhares de skills publicas e descobriu que 36% continham vulnerabilidades de Prompt Injection e mais de 1.400 possuiam payloads maliciosos ativos.

Prompt Injection: O que e?

Instrucao oculta ou maliciosa dentro de um SKILL.md que faz a IA fazer algo que nao deveria.

Vetores de Ataque

Vetor	Exemplo	Risco
Base64 ofuscado	`echo "aW5zdHJ1Y29lcw==" \| base64 -d`	Executa comandos ocultos
HTML oculto	`<!-- instrucao maliciosa -->`	Invisivel ao dev
Unicode invisivel	Caracteres zero-width	Altera comportamento sem ser visivel
Mudanca de contexto	"Ignore as instrucoes anteriores"	Hijack do agente
URLs externas	Exfiltracao via webhook	Roubo de dados/chaves

Riscos Principais

Como a skill tem acesso ao shell, sistema de arquivos e variaveis de ambiente:

Credential Theft

Roubar chaves de API e tokens de variaveis de ambiente

Malicious Code

Instalar backdoors no projeto ou no sistema

Memory Poisoning

Alterar a memoria persistente do agente

Como se Defender

✓ Nunca baixe skills de fontes desconhecidas — verifique o historico do autor no GitHub
✓ Inspecione o SKILL.md — busque por base64, "ignore instrucoes", URLs suspeitas
✓ Use mcp-scan para auditar — uvx mcp-scan@latest --skills

6. Repositorios e Proximos Passos

27:30 - 30:00 • 2.5 minutos

Onde Baixar Skills Seguras

Anthropic

anthropics/skills — Repositorio oficial

OpenAI

openai/skills — Repositorio oficial

Vercel Labs

vercel-labs/agent-skills — Skills verificadas

Comunidade Curada

VoltAgent/awesome-agent-skills — Skills de Stripe, Cloudflare, Supabase

agentskills.io

Site oficial do padrao de Agent Skills

Proximos Passos

✓ Crie skills para seus processos repetitivos — como voce fez com json_comparator
✓ Compartilhe com o time via Git — skills de projeto na raiz do repositorio
✓ Publique skills genericas — contribua com a comunidade
✓ Sempre inspecione antes de instalar — seguranca em primeiro lugar

Skills sao uma ferramenta de otimizacao e escala.

Use para gerar lucro de tempo, economizar tokens, garantir consistencia. Isso e o que diferencia um desenvolvedor bom de um excelente.

Obrigado!

Tech Talk — Dominando Agent Skills na Pratica

Diogenes Pereira • 2026