Skills、MCP 与 Hooks:三种不同的扩展
Skill 封装做事方法,MCP 标准化外部能力连接,Hook 在固定事件点执行确定性规则。
- 能区分 Skill、MCP 与 Hook 的职责
- 能画出 Host/Client/Server 信任边界
- 能为扩展设计版本与降级策略
什么时候该写 Skill,什么时候该接 MCP?
先判断缺口属于哪一类。如果 Agent 不知道怎样完成研究分析,需要的是可复用方法;如果它无法访问企业文档,需要的是外部能力连接;如果敏感字段检查必须每次发生,需要的是确定性事件机制。
Skill、MCP 和 Hook 经常都被叫作插件,但它们解决不同问题。Skill 主要封装做事方法,MCP 标准化 Host 与外部 Server 的能力交换,Hook 在特定事件点运行固定动作。混在一起会导致凭证、权限和维护边界失控。
以下对 Skill 与 Hook 的描述会使用 Claude Code 等产品案例帮助理解;具体目录、事件名和加载方式属于产品实现,不应被泛化为所有 Agent 的行业标准。
先记住这句话如果缺的是“怎么做”,优先 Skill;缺的是“能访问什么系统”,考虑 MCP;必须在特定时机百分之百触发的检查,用 Hook。它们可以组合,但不能混为同一层。

Skill 解决“怎样做”
Skill 可以包含步骤、模板、参考资料和脚本,让 Agent 在需要时加载一套专项工作流。它适合把团队经验变成可复用操作,例如访谈编码、事故复盘或发布检查。
Skill 仍由 Agent 发现和遵循,不适合承载必须百分之百执行的安全阻断。它需要版本、示例、测试和反馈,而不是一段永远不更新的长 Prompt。
MCP 解决“能连接什么”
MCP 的基本角色是 Host、Client 和 Server。Host 是用户使用的 Agent 应用;Host 通常为每个 Server 建立 Client;Server 暴露 Tools、Resources 或 Prompts。连接建立后双方先协商支持能力,再进行调用。
Server 不应默认获得完整会话。Host 负责决定哪些上下文、凭证和能力可以流向某个连接。MCP 标准化连接方式,不自动保证工具安全、数据可信或业务语义正确。
Hook 解决“何时必须发生”
Hook 在明确事件边界触发,例如工具调用前检查敏感路径,修改后运行格式化,交付前写审计。它不需要模型临时想起,因此适合确定性治理。
Hook 也可能失败、超时或递归触发,需要可观测、可禁用和防循环。Claude Code 的具体 Hook 事件属于产品案例,其他 Harness 可以采用策略引擎、事件总线或工具中间件实现同类目标。
三者组合时先画信任边界
一个用户研究 Agent 可以用 Skill 定义分析方法,用 MCP 只读连接文档库,用 Hook 在资料进入模型前脱敏。方法、能力和确定性治理分别有 Owner、权限和失败策略。
选择扩展方式时比较可发现性、确定性、权限面、版本兼容和降级路径。能用窄接口解决的问题,不要暴露整个系统。
MCP 标准化连接,不替你完成安全设计
一个 MCP Server 能被发现和调用,只说明协议交互成立,不说明它值得信任。Host 仍要校验 Server 来源、最小授权 scope、工具参数、用户同意、凭证保存、网络出口和返回内容。
官方安全指南专门列出 confused deputy、token passthrough、SSRF、session hijacking 和本地 Server 任意代码执行等风险。产品经理不能把“支持 MCP”写成一个功能勾选项,必须说明连接谁、代表谁行动、能接触什么、怎样撤销和怎样审计。
先判断缺口属于“不会怎么做”“无法访问什么”还是“必须在事件点确定发生什么”。Skill 解决方法复用,MCP 解决外部能力连接,Hook 解决生命周期中的确定性治理。
识别方法、能力或事件约束缺口
提供工作流、参考资料、模板与脚本
为每个 Server 建立隔离 Client 并协商能力
在固定事件点执行检查、审计或阻断
有术语没听懂?在这里用人话再看一遍7 个词+
- Skill
- 封装可复用做事方法、参考资料、模板与脚本的能力包;不同产品实现可能不同。
- MCP
- Model Context Protocol,用于 Agent Host 与外部 Server 协商和交换能力的开放协议。
- Host
- 承载用户、模型与多个外部连接的 Agent 应用。
- Client
- Host 内与某个 MCP Server 建立协议会话的连接组件。
- Server
- 通过 MCP 暴露 Tools、Resources 或 Prompts 的外部程序。
- Hook
- 在固定生命周期事件触发的确定性动作;具体实现和事件名依产品而异。
- 能力协商
- 连接初始化时双方声明支持的协议版本与能力,避免假设所有功能都存在。
用户研究 Agent 的三层扩展
Skill 定义访谈分析方法;MCP 连接文档库;Hook 在内容入模前检查 PII,并在交付后保存审计。
- 01
Agent 先读取 Skill 的任务模板
- 02
MCP 只暴露搜索与读取指定目录
- 03
Hook 对敏感字段脱敏,失败时阻断而不是提醒
方法、外部能力和确定性治理分层,维护与权限边界清晰。
本章依据与证据边界5 条结论 · 9 份原始材料+
正文已经把关键来源放在相关概念旁边。这里保留完整核验清单:每条材料能支持什么、不能支持什么;不要求离开本站才能继续学习。
- [1]
MCP 官方文档将其定义为连接 AI 应用与外部系统的开放协议。
官方事实MOWhat is the Model Context Protocol?官方文档 · 核验 2026-07-14 - [2]
MCP 官方架构描述 Host、Client、Server 以及 Tools、Resources、Prompts 等核心概念。
官方事实MOMCP architecture overview官方文档 · 核验 2026-07-14 - [3]
Anthropic 文档说明 Claude Code 的 Hook 事件和自动化方式;这些事件名属于 Claude Code 产品实现。
官方事实ANAutomate workflows with hooks官方文档 · 核验 2026-07-14 - [4]
本站“不会做/访问不到/必须发生”的三分决策法是教学推演,不是 MCP 规范的一部分。
本站推演MOMCP architecture overview官方文档 · 核验 2026-07-14 - [5]
MCP 官方安全指南要求产品处理最小权限、明确同意、token audience、SSRF、session 绑定与本地 Server 执行风险;协议本身不是安全保证。
官方事实MOMCP Security Best Practices官方文档 · 核验 2026-07-14
查看全部一手材料与源码证据 9 条
这份材料把工具定义为确定性系统与非确定性 Agent 之间的合同,说明工具名称、参数、描述、错误反馈和返回内容都会改变模型行为。它支持用真实任务和留出集评测工具,并强调更少重叠、边界清晰、返回高信号且 Token 高效的工具通常更可靠。
官方产品实现 · 核验 2026-07-11Automate actions with hooksAnthropic这份指南以格式化、阻断危险命令、权限处理、通知和上下文注入等例子说明 Hook 适合确定生命周期事件上的自动化。它支持产品经理把必须执行的治理规则从概率性 Prompt 中移出,并理解多个匹配 Hook 并行执行时的合并与副作用风险。
官方产品实现 · 核验 2026-07-11Hooks referenceAnthropic这份参考文档定义 Session、Prompt、Tool、Permission、Subagent、Compaction 等 Hook 事件及其输入输出协议。它还区分 command、HTTP、MCP tool、prompt 与 agent handler,并说明异步 Hook、阻断决策、超时和 Subagent Hook 的具体限制。
官方产品实现 · 核验 2026-07-11Connect Claude Code to tools via MCPAnthropic这份文档说明 Claude Code 如何通过 MCP 连接外部工具、资源、提示与事件渠道,以及 local、project、user 等配置作用域。它支持讲清 MCP 是外部能力连接协议而不是 Agent 的推理核心或长期记忆,并覆盖认证、连接、超时和共享边界。
固定提交源码 · 核验 2026-07-11Hermes Agent repository and architecture guidanceNous Research这份固定提交的仓库说明展示 Hermes Agent 如何用同一个窄腰核心服务 CLI、TUI、桌面与消息入口,并优先通过 Skills、Plugins 与 MCP 扩展。它还把 Prompt Cache、核心工具数量和扩展 Footprint 当成真实架构约束,说明工具越多并不自动更强。
协议规范 · 核验 2026-07-14Model Context Protocol AuthorizationModel Context Protocol现行规范定义 HTTP MCP 的 OAuth 2.1 角色、Protected Resource Metadata、Resource Indicators、scope、token audience、PKCE 和授权错误处理。
证据边界:协议兼容不自动等于某个 Server 安全、可信或符合业务授权。协议规范 · 核验 2026-07-14MCP Security Best PracticesModel Context Protocol官方安全指南覆盖 confused deputy、token passthrough、SSRF、session hijacking、最小 scope、用户同意和本地 Server 信任。
证据边界:遵循清单不能消除 Prompt Injection、实现漏洞或第三方供应链风险。官方产品实现 · 核验 2026-07-14Hermes Agent Skills SystemNous Research当前文档说明 Agent 可以创建、修改和删除 Skill,并通过 write_approval 将更改暂存供人工检查;Skill 被定义为按需加载的程序性记忆。
证据边界:Skill 自修改不等于方法必然改进,也不等于模型参数学习。一线课程案例 · 核验 2026-07-14Free Claude Code CourseFrontend Masters课程由 Claude Code 团队成员 Lydia Hallie 授课,覆盖 CLAUDE.md、权限、Skills、Hooks、Subagents、Plugins、MCP 和 Desktop 的操作语境。
证据边界:讲师身份与演示成功不等于 Anthropic 官方产品合同或普遍架构结论。本课对应面试题
离开这个模块之前,先自己回答这 5 个问题。
不打分、不记录。答不上来就点回那一课;能用自己的话讲清楚,再进入下一模块。已标记已读 0/5。
02.1检索结果相关度最高,为什么仍不能直接进入高优先级指令?+
相关性不代表权威性和可信度。外部文档可能过期、冲突或包含 Prompt Injection,必须保留指令层级和信任边界。
02.2工具调用参数正确,是否就能安全自动重试?+
不能。还要确认动作幂等、上一次是否已产生副作用、是否有回执,以及错误属于暂态还是永久。
02.3审批越多是否越安全?+
不是。无差别审批会造成确认疲劳。安全来自技术硬边界、最小权限、清晰风险分层和真正关键节点的高信号确认。
02.4记忆命中率越高是否越好?+
不一定。命中无关、错误或过期记忆会降低任务质量。应同时衡量相关召回、错误命中、过期伤害和用户纠正成本。
02.5为什么关键合规检查不能只写在 Skill 指令里?+
Skill 仍依赖模型遵循和选择。必须百分之百发生的阻断、审计或格式校验应由 Hook、策略或工具边界确定性执行。