Confiance & sécurité
Mise à jour : 30/06/2026
Avant d’installer quoi que ce soit, tu dois savoir exactement ce qui se passe. Voici, en toute honnêteté, ce que fait notre CLI, ce qu’il ne fait surtout pas — et ce que nous laissons volontairement de côté.
Ce que fait le CLI
- Détecte localement quels outils d’IA sont installés (ou tu les choisis avec --tool).
- Télécharge uniquement les fichiers du skill que tu as débloqué, via un endpoint sécurisé (vérification du jeton).
- Les dépose de façon native à l’outil — p. ex. Claude Code : ~/.claude/skills/…
- Pour Codex : met à jour seulement un bloc balisé dans AGENTS.md — ton contenu est conservé.
- Open source (MIT) : tout le code du CLI est public sur GitHub — tu peux lire exactement ce que fait l’outil.
- Vérifie les fichiers livrés contre des sommes de contrôle SHA-256 côté serveur (contrôle d’intégrité).
- Demande avant d’écraser des fichiers existants dans un terminal (avec un avis lors des exécutions automatiques).
Ce que le CLI NE fait PAS
- Ne lit aucun fichier de projet, aucun .env, aucune clé d’API.
- N’envoie aucun contenu de projet — seuls le jeton, le nom du skill et les outils détectés sortent de ta machine.
- N’installe aucun service en arrière-plan et n’exécute aucun script distant tiers.
- N’écrit que dans les chemins de skills connus — une double protection (client et serveur) empêche d’écrire ailleurs.
- Ne modifie aucun réglage système global.
Installer sans le CLI & retirer
Tu n’es pas obligé d’utiliser le CLI. Chaque skill est téléchargeable en ZIP et se copie manuellement dans le dossier de skills de ton outil — le contenu est affiché sous forme d’arborescence sur chaque page de skill, avant tout téléchargement.
Retirer — en local, sans jeton. Supprime le dossier du skill pour chaque outil et, pour Codex, retire seulement notre bloc balisé d’AGENTS.md :
npx --yes @skills-for-ai/cli remove <skill> Code du CLI sur GitHub (MIT) → Jeton & données
- Un jeton par skill — valable uniquement pour ce skill, utilisable un nombre illimité de fois.
- En cas de remboursement, le jeton est révoqué ; ensuite il ne télécharge plus rien.
- Nous ne stockons aucun contenu de projet. Un téléchargement ne fait qu’incrémenter le compteur.
- L’endpoint passe par HTTPS ; les fichiers de skills sont dans un stockage privé, pas sur un CDN public.
- Une limite de débit sur l’endpoint de livraison freine les abus automatisés.
Badges de sécurité — ce qu’ils signifient
Ne contient que des instructions, modèles et références — aucun script exécutable.
Peut contenir des scripts exécutables. Jette un œil avant de lancer — l’arborescence montre tout.
S’exécute entièrement chez toi avec ta propre IA — aucun runtime externe, aucun coût récurrent.
N’appelle pas de services tiers de lui-même.
SKILL.md selon le standard ouvert agentskills.io — portable et inspectable.
Une version fixe + un changelog par skill pour des mises à jour traçables.
Compatibilité par outil
Tous les outils d’IA ne prennent pas en charge les skills de la même manière. Un skill se veut portable (SKILL.md), mais chaque outil l’intègre différemment. Voici comment l’utiliser par outil :
| Outil | Prise en charge | Chemin d’installation | Statut |
|---|---|---|---|
| Claude Code | Native (chargement auto) | CLI ou dossier ~/.claude/skills | Stable |
| Codex CLI | Via standard ouvert | CLI → .agents/skills (AGENTS.md fusionné) | Stable |
| Cursor | Via fichiers de projet | CLI → .agents/skills | Utilisable |
| GitHub Copilot | Via fichiers de projet | CLI → .agents/skills | Utilisable |
| Gemini CLI | En extension | CLI → puis « gemini extensions install » | Stable |
| Windsurf / Cline | Via dossier de skills | CLI → dossier de skills | Utilisable |
| Claude / ChatGPT (web) | Manuel | Coller le SKILL.md dans un Projet / Custom GPT | Manuel |
Au 30/06/2026 — la prise en charge évolue vite, nous la vérifions en continu. « Manuel » signifie : ça marche, mais sans détection automatique ; tu colles toi-même le SKILL.md.
Prêt ? L’installation détaillée pas à pas (avec alternative manuelle) est ici : Vers le guide d’installation