gh skill: GitHub دخلت لعبة Agent Skills من الترمنال رسميًا

لو بتثبّت agent skills يدويًا من 4 مستودعات مختلفة وبتحافظ على نسخها بـ scripts شخصية، أمر gh skill الجديد بيختصر الخطوة دي كلها في سطر واحد. لكن في مقابل ثمن أمني واضح لازم تحسبه قبل ما تشغّله على machine فيها مفاتيح شغل.

المشكلة باختصار

Agent skills بقت المعيار الفعلي لتعليم الـ AI agents (Claude Code, Copilot, Cursor, Codex, Gemini CLI) مهام محددة. كل skill عبارة عن SKILL.md + scripts + resources داخل مجلد في مستودع GitHub. قبل 16 أبريل، التثبيت كان يدوي بحت: git clone، نقل ملفات، تحديث يدوي، وتتبع النسخ في README أو سكربت shell شخصي. لما الفريق بيكبر وعدد الـ agents بيزيد، الطريقة دي بتفشل في الاتساق وبتفتح ثغرات في الـ supply chain.

الأوامر الأساسية اللي هتستخدمها فعلاً

بعد ترقية GitHub CLI لنسخة 2.90.0 أو أحدث، دي الأوامر اللي هتعيش عليها يوميًا:

# معاينة skill قبل التثبيت (اقرأ SKILL.md قبل أي حاجة)
gh skill preview github/awesome-copilot/skills/gh-cli

# تثبيت skill من مستودع
gh skill install github/awesome-copilot/skills/gh-cli

# تثبيت بنسخة محددة عبر tag (أو الأفضل commit SHA)
gh skill install github/awesome-copilot/skills/gh-cli --pin v1.2.0

# تحديث كل الـ skills (الـ pinned بيتم تجاوزها)
gh skill update

# عرض كل الـ skills المثبتة محليًا
gh skill list

الميزة اللي بتفرق فعلاً: content-addressed change detection. gh skill بيسجل الـ git tree SHA لمجلد الـ skill في frontmatter الخاص بـ SKILL.md. لما تعمل update، بيقارن الـ SHA المحلي بالـ remote لتحديد التغييرات الفعلية في المحتوى، مش مجرد bump للـ tag. ده معناه إن rename بسيط لـ release tag مش هيسبب update وهمي.

Trade-offs: بتكسب إيه وبتخسر إيه

بتكسب: توفير وقت تثبيت، توحيد skills بين الفريق عبر version pinning، و tracking واضح لمصدر كل skill جاي من فين بالظبط (repo + ref + tree SHA). بتخسر: مسؤولية أمان كاملة عليك. GitHub بتصرّح في documentation الأمر إن skills مش بيتم التحقق منها، وممكن تحتوي على:

• Prompt injections مخفية جوا تعليمات SKILL.md.
• سكربتات تنفّذ أوامر خطيرة لما الـ agent يستدعيها.
• تعليمات بتغيّر سلوك الـ agent بدون ما تنتبه (مثلاً exfiltration للـ env vars).

الافتراض هنا: أنت مسؤول مسؤولية كاملة عن فحص المحتوى قبل التثبيت. gh skill preview بيوريك الملفات، لكنه مش بديل لقراءة SKILL.md بالكامل والسكربتات المرتبطة بيه.

سيناريو واقعي: فريق من 6 مطوّرين

فريق بيشتغل على 3 agents مختلفة (Copilot، Claude Code، Cursor) ومحتاج skills موحدة لـ code review و deployment وgit workflow. قبل gh skill، setup لكل مطور جديد كان بياخد حوالي 25 دقيقة لكل skill × 3 أدوات = حوالي 75 دقيقة في اليوم الأول. بعد gh skill + ملف skills.lock في الريبو الرئيسي: أمر واحد بيثبّت كل حاجة في أقل من دقيقتين. التوفير الفعلي: حوالي 70 دقيقة لكل مطور جديد، وميزة أهم إن نسخ الـ skills بقت identical عبر الفريق كله.

متى لا تستخدم gh skill

لو بتشتغل في بيئة enterprise بمتطلبات compliance صارمة (SOC2، ISO 27001)، gh skill دلوقتي في public preview ومش مناسب لـ production حرجة — الـ API ممكن يتغيّر بدون إشعار. كمان لو بتستخدم agent واحد بس، استخدم أداة التثبيت الأصلية بتاعته مباشرةً؛ gh skill قيمته الحقيقية بتظهر لما عندك تعدد أدوات. وأخيرًا: لو ما عندكش process لمراجعة skills قبل التثبيت، ما تفعّلهوش على الماكينات اللي فيها مفاتيح production.

الخطوة التالية

الخطوة التالية واضحة: رقّي gh لـ v2.90.0، ثم شغّل gh skill preview github/awesome-copilot/skills/gh-cli. افحص SKILL.md بالكامل قبل أي install. لو الـ skill مفيد، ثبّته بـ --pin على commit SHA محدد مش tag، وخلي الترقية قرار واعي منك مش حادثة في CI.

المصادر

• GitHub Changelog — Manage agent skills with GitHub CLI (16 أبريل 2026).
• GitHub CLI Manual — gh skill reference.
• cli/cli — Release v2.90.0 notes.
• github/awesome-copilot — SKILL.md specification examples.
• GitHub Docs — About agent skills.