Confianza & seguridad

Confianza & seguridad

Actualizado: 30/06/2026

Antes de instalar nada, debes saber exactamente qué ocurre. Aquí tienes, con honestidad, qué hace nuestro CLI, qué no hace en absoluto — y qué dejamos fuera a propósito.

Qué hace el CLI

  • Detecta localmente qué herramientas de IA están instaladas (o las eliges con --tool).
  • Descarga solo los archivos del skill que has desbloqueado, mediante un endpoint protegido (verificación de token).
  • Los coloca de forma nativa a la herramienta — p. ej. Claude Code: ~/.claude/skills/…
  • Para Codex: actualiza solo un bloque marcado en AGENTS.md — tu contenido se conserva.
  • Open source (MIT): todo el código del CLI es público en GitHub — puedes leer exactamente qué hace la herramienta.
  • Verifica los archivos entregados contra sumas SHA-256 del servidor (control de integridad).
  • Pregunta antes de sobrescribir archivos existentes en un terminal (con un aviso en ejecuciones automáticas).

Qué NO hace el CLI

  • No lee archivos del proyecto, ni .env, ni claves de API.
  • No envía contenido del proyecto — solo el token, el nombre del skill y las herramientas detectadas salen de tu equipo.
  • No instala servicios en segundo plano ni ejecuta scripts remotos de terceros.
  • Solo escribe en las rutas de skills conocidas — una doble protección (cliente y servidor) impide escribir fuera.
  • No cambia ningún ajuste global del sistema.

Instalar sin el CLI & eliminar

No tienes que usar el CLI. Cada skill se puede descargar como ZIP y copiar manualmente en la carpeta de skills de tu herramienta — el contenido se muestra como árbol de archivos en cada página de skill, antes de descargar nada.

Eliminar — en local, sin token. Borra la carpeta del skill en cada herramienta y, para Codex, quita solo nuestro bloque marcado de AGENTS.md:

npx --yes @skills-for-ai/cli remove <skill>
Código del CLI en GitHub (MIT) →

Token & datos

  • Un token por skill — válido solo para ese skill y usable un número ilimitado de veces.
  • Con un reembolso el token se revoca; después ya no descarga nada.
  • No almacenamos contenido del proyecto. Una descarga solo incrementa el contador.
  • El endpoint usa HTTPS; los archivos de skills están en almacenamiento privado, no en un CDN público.
  • Un límite de tasa en el endpoint de entrega frena el abuso automatizado.

Insignias de seguridad — qué significan

Solo instrucciones

Contiene solo instrucciones, plantillas y referencias — sin scripts ejecutables.

Contiene scripts

Puede contener scripts ejecutables. Échale un vistazo antes de ejecutar — el árbol de archivos lo muestra todo.

Local

Se ejecuta por completo en tu equipo con tu propia IA — sin runtime externo, sin costes recurrentes.

Sin APIs externas

No llama a servicios de terceros por sí mismo.

Estándar abierto

SKILL.md según el estándar abierto agentskills.io — portable e inspeccionable.

Versionado

Una versión fija + changelog por skill para que las actualizaciones sean trazables.

Compatibilidad por herramienta

No todas las herramientas de IA admiten skills igual. Un skill es portable por diseño (SKILL.md), pero cada herramienta lo integra de otra forma. Así se usa por herramienta:

HerramientaSoporte de skillsVía de instalaciónEstado
Claude CodeNativo (carga automática)CLI o carpeta ~/.claude/skillsEstable
Codex CLIVía estándar abiertoCLI → .agents/skills (AGENTS.md fusionado)Estable
CursorVía archivos de proyectoCLI → .agents/skillsUsable
GitHub CopilotVía archivos de proyectoCLI → .agents/skillsUsable
Gemini CLIComo extensiónCLI → luego «gemini extensions install»Estable
Windsurf / ClineVía carpeta de skillsCLI → carpeta de skillsUsable
Claude / ChatGPT (web)ManualPegar el SKILL.md en un Proyecto / Custom GPTManual

A fecha 30/06/2026 — el soporte cambia rápido y lo verificamos continuamente. «Manual» significa: funciona, pero sin detección automática; pegas tú mismo el SKILL.md.

¿Listo? La instalación detallada paso a paso (con alternativa manual) está aquí: Ir a la guía de instalación