★ המדריך המלא 2026

Skills: הנשק הסודי
של כל כלי AI לקוד

לא רק ל-Claude Code. גם Cursor וגם Codex תומכים בדיוק באותו פורמט. כותבים פעם אחת, עובד בכל מקום.

🟣 Claude Code
🟢 Cursor
🔵 Codex CLI

אם אתם משתמשים ב-Claude Code, Cursor, או Codex בתור צ'אטבוט חכם, אתם מפספסים את כל העניין. Skills הופכים אותם ממומחים כלליים למומחים בדיוק בתחום שלכם, כאלה שמכירים את הסטנדרטים שלכם ולא צריכים הסבר מחדש בכל שיחה.

1

מה זה בכלל Skill?

חבילת Skill היא תיקייה שבבסיסה נמצא קובץ SKILL.md. היא מכילה הנחיות, סקריפטים ומשאבים שמלמדים את הסוכן לבצע משימות ספציפיות — כמו עיצוב לפי מיתוג החברה, אוטומציות, או ניתוח נתונים. אותו קובץ, אותו פורמט, עובד על כל שלושת הכלים.

ידע קבוע

הסוכן "זוכר" את הסטנדרטים שלכם בלי שתחזרו עליהם בכל שיחה מחדש

גבולות ברורים

אפשר לאסור מפורשות על דברים שגרמו לנזק בעבר: חבילות, deployments, קבצים

תהליכי עבודה

כל ה-workflow שלכם בכתב: סדר הפעולות, נקודות עצירה, מתי לשאול

מומחיות אמיתית

Skill על Next.js שונה לגמרי מ-Skill על Django. הוא יודע בדיוק את הסביבה שלכם

🔄

SKILL.md הוא סטנדרט פתוח: קובץ שכתבתם ל-Claude Code עובד גם ב-Cursor וגם ב-Codex, ללא שינויים. כותבים פעם אחת, מעתיקים לכל תיקייה. זה לא מקרי, זה עיצוב מכוון.

2

איך כל כלי עובד עם Skills

אותו פורמט, אבל כל כלי שומר את ה-Skills במקום שונה ומפעיל אותם בצורה קצת שונה.

🟣
Claude Code
מבית Anthropic
תיקייה
~/.claude/skills/
.claude/skills/
הפעלה אוטומטית לפי description, או /skill-name ידנית
frontmatter חובה (name + description)
🟢
Cursor
מבית Anysphere
תיקייה
.cursor/skills/
הפעלה אוטומטית לפי description, כשה-Agent מזהה התאמה
הערה לצד Skills יש גם Rules (ראו למטה)
🔵
Codex CLI
מבית OpenAI
תיקייה
~/.codex/skills/
.codex/skills/
הפעלה אוטומטית, או $skill-name בפרומפט
הערה דרוש --enable skills בהרצה

🟢 Cursor בלבד: Rules לעומת Skills

ל-Cursor יש שני מנגנונים שונים לחלוטין. חשוב להבין את ההבדל.

Rules (.cursor/rules/)

תמיד פעיל, בכל שיחה, ללא קשר למה שביקשתם.

  • מתאים לקונבנציות שתמיד צריכות לחול
  • שמור את ה"שפה הראשית Python" פה
  • אם Rules ו-Skills סותרים, Rules תמיד מנצח

Skills (.cursor/skills/)

נטען רק כשהמשימה מתאימה ל-description.

  • מתאים ל-workflow ספציפי: "כשמישהו מבקש review"
  • שומר את ה-context window נקי מהוראות לא רלוונטיות
  • מומלץ להתחיל עם Skills, לא Rules
📋

Codex בלבד — AGENTS.md: ל-Codex יש גם קובץ AGENTS.md שפועל כמו Rules של Cursor, כלומר הוראות שתמיד פעילות בכל session. Skills הם עדיין on-demand. אם אתם עובדים עם Codex, כדאי לשים כללי בסיס ב-AGENTS.md וידע ספציפי ב-SKILL.md.

3

מבנה קובץ SKILL.md והתקנה

הקובץ מחולק לשני חלקים: כותרת מטא (frontmatter) בין שני שורות של מינוסים, ותוכן חופשי בתחתית.

SKILL.md — מבנה בסיסי
---
name: my-project-standards
description: סטנדרטים לפרויקט שלנו — הפעל כשמבצעים שינויי קוד
version: 1.0.0
---

# כללי עבודה

## מה מותר
- קרא קבצים לפני שאתה נוגע בהם
- שאל לפני כל commit או push

## מה אסור בהחלט
- אל תתקין packages ללא אישור מפורש
- אל תמחק מבלי לשאול

ה-description הוא המפתח. הסוכן קורא אותו כדי להחליט מתי להפעיל את ה-Skill. כתבו אותו בצורה ברורה: מה הוא עושה ומתי צריך להפעיל אותו.

התקנה לפי כלי:

🟣 Claude Code

1

צרו תיקייה
mkdir -p ~/.claude/skills/my-skill

2

שמרו SKILL.md בפנים

3

הפעילו בשיחה
/my-skill

🟢 Cursor

1

צרו תיקייה בפרויקט
mkdir -p .cursor/skills/my-skill

2

שמרו SKILL.md בפנים

3

Cursor מוצא אוטומטית, אין צורך בפקודה

🔵 Codex CLI

1

צרו תיקייה
mkdir -p ~/.codex/skills/my-skill

2

שמרו SKILL.md בפנים

3

הריצו עם
codex --enable skills

📁

להעביר Skill בין כלים: מעתיקים את כל התיקייה. לא צריך לשנות כלום בקובץ עצמו. cp -r ~/.claude/skills/my-skill ~/.codex/skills/ — זה הכל.

4

דוגמאות לפי סוג Skill

Skill שמגדיר איך לכתוב קוד: קונבנציות, מה מותר, אילו ספריות קיימות. עובד זהה ב-Claude Code, Cursor, ו-Codex.

coding-standards/SKILL.md
---
name: coding-standards
description: סטנדרטי קוד — הפעל בכל כתיבה או שינוי קוד בפרויקט
---

# כתיבת קוד

## חוקים
- פשוט על פני חכם תמיד
- אין magic numbers, אין silent failures
- כל error חייב להיות מתועד

## מה לא לעשות
- אין try/catch שבולע שגיאות בשקט
- אין TEMP ללא תאריך פקיעה
- אין hardcoded credentials

## ספריות מאושרות
- date-fns לתאריכים (לא moment)
- zod לvalidation
- prisma לDB (לא raw SQL)

Skill שמגדיר תהליכי עבודה: סדר פעולות, איפה עוצרים, מה צריך אישור.

workflow/SKILL.md
---
name: dev-workflow
description: תהליך עבודה — הפעל לפני כל שינוי קוד או commit
---

# תהליך עבודה

## לפני כל שינוי
1. קרא את הקובץ המלא
2. מפה תלויות ו-blast radius
3. הצג הנחות, המתן לאישור

## נקודות עצירה חובה
- לפני commit: המתן ל"commit now"
- לפני push: המתן ל"push now"
- לפני deploy: המתן ל"deploy now"

## לאחר שינוי
- הרץ tests
- בדוק אפס regressions
- דווח על מה שבוצע בפועל

Skill שמגדיר תיעוד: פורמט, כותרות, מה מתעדים ומה לא.

documentation/SKILL.md
---
name: documentation-standards
description: תקן תיעוד — הפעל בכל כתיבה או עדכון של מסמכים
---

# תיעוד

## עקרון single source of truth
- לכל נושא מסמך קנוני אחד בלבד
- אין כפולים, אין סתירות

## Header חובה בכל מסמך
- Version, Last Updated, Status
- Canonical Location

## Status אפשריים
- DONE: רק אחרי קריאת קוד אמיתי
- IN_PROGRESS: שינוי פעיל
- BROKEN: לא עובד, לא לטשטש

Skill שמגדיר מה אסור מבחינת אבטחה: packages, permissions, secrets.

security/SKILL.md
---
name: security-rules
description: כללי אבטחה — הפעל תמיד, בכל משימת קוד
---

# כללי אבטחה

## NEVER
- אין npm install ללא אישור מפורש
- אין גישה לsecrets בקוד
- אין Vercel, לא ישיר ולא עקיף

## Secrets
- .env רק local, אף פעם לא prod
- אין לוג של ערכי env variables

## User input
- כל input חיצוני עובר validation
- SQL עם parameterized queries בלבד
5

אבטחה: מה חייבים לדעת לפני שמתקינים Skill של מישהו אחר

לסוכנים האלה יש גישה עמוקה למחשב ולרשת שלכם. התקנה של Skill ממקור לא אמין היא מסוכנת מאוד. מחקר אקדמי עדכני הראה 95% הצלחה לפריצות ופריסת קוד זדוני באמצעות Skills שנבנו בצורה זדונית.

5 הבדיקות החובה לפני התקנה:

1

קריאה מלאה של קובץ SKILL.md

פותחים וקוראים מהתחלה עד הסוף. מחפשים:

  • מפתחות גישה (כמו ANTHROPIC_API_KEY) שנשלחים לכתובות חיצוניות
  • כתובות אינטרנט או IP שאינכם מכירים
  • טריגרים נסתרים שמופעלים רק במצבים מסוימים
2

מעבר על כל הקבצים בחבילה

לא רק קובץ SKILL.md. סורקים את כל התיקייה:

  • אילו קבצי עזר, סקריפטים (.py, .sh) או קבצים בינאריים מצורפים
  • Skill שאמור רק לעצב UI אין שום סיבה שיכיל סקריפט פייתון שרץ ברקע
3

חיפוש סימני ערפול (Obfuscation)

מחפשים דברים שנועדו להסתיר כוונות מהעין האנושית:

  • מחרוזות מוצפנות ב-Base64 בתוך ההנחיות
  • שילוב שפות זרות בתוך הגדרות ה-Skill
  • תווים מיוחדים (Unicode) או רווחים נסתרים שמטעים את הסוכן
4

התקנה וסריקה בסביבה מוגנת (Sandbox)

  • מריצים בסביבה מבודדת, כלים כמו SkillCheck by Repello עוזרים
  • לסביבת הבדיקה אין גישה למפתחות ה-API האמיתיים שלכם
5

כל עדכון = התקנה חדשה

קובץ שהיה בטוח אתמול יכול להפוך לזדוני אם חשבון המפתח נפרץ:

  • לפני עדכון, בצעו Diff ובדקו בדיוק מה השתנה
  • קוד זדוני יכול לשבת רדום חודשים ולהיכנס רק בעדכון האחרון
⚠️

כמות התקנות היא לא מדד לביטחון: אל תניחו ש-Skill בטוח רק כי 20,000 אנשים התקינו אותו. קוד זדוני יכול לשבת רדום חודשים.

💡

ההמלצה הכי טובה: אם אתם לא יודעים לחפש את הדברים האלה, או שאתם לא סומכים במאה אחוז על המקור — אל תתקינו. עדיף להשקיע כמה דקות ולבנות את ה-Skill בעצמכם מאפס.


כשכותבים Skills משלכם — מה לא לעשות:

הגבלות מפורשות על packages

כתבו מה מותר ומה לא. "אל תתקין" לבד לא מספיק, ציינו גם מה כן מאושר.

נקודות עצירה לפני פעולות הרסניות

commit, push, deploy, delete — כל פעולה שאי אפשר לבטל חייבת לבקש אישור מפורש.

אל תכניסו secrets לתוך ה-Skill

SKILL.md נכנס ל-git. אף פעם אל תכניסו API keys, passwords, או connection strings.

אל תסמכו על Skill בלבד לאבטחה

Skill הוא הוראה לסוכן, לא מנגנון אכיפה. בנו גם CI/CD שלא מאפשר deploy ישיר.

6

איך בודקים שה-Skill עובד נכון

אחרי כתיבה, כדאי לוודא שהוא אכן עובד לפי הכוונה:

/skill-name הפעילו את ה-Skill בתחילת שיחה חדשה
"מה אתה יודע על הפרויקט?" הסוכן צריך לפרט את הכללים שכתבתם
"תתקין לי את express" אם הגדרתם איסור, הוא חייב לסרב ולהסביר למה
"תעשה commit לשינויים" חייב לעצור ולבקש אישור, לא לרוץ ישר
אם כל הבדיקות עוברות, ה-Skill עובד
⚠️

Skill לא מבטיח ציות מלא, במיוחד בשיחות ארוכות שבהן ההוראות יכולות "להישכח". בדקו מדי פעם שהסוכן עדיין מכבד את הכללים.

7

שאלות נפוצות

כן, SKILL.md הוא סטנדרט פתוח. קובץ שכתבתם ל-Claude Code עובד גם ב-Cursor וב-Codex, ללא שינויים. מעתיקים את התיקייה, זה הכל. ההבדל הוא רק היכן שומרים את התיקייה ואיך מפעילים — לא מה שכתוב בפנים.
כל אחד מהקבצים האלה נטען תמיד, בכל שיחה, ללא קשר לבקשה. Skills הם שונים: הם נטענים רק כשהמשימה מתאימה ל-description שכתבתם. זה שומר את ה-context window נקי ומאפשר ל-Skill להכיל הוראות ארוכות ומפורטות בלי להאריך כל שיחה.
אין הגבלה טכנית. בפועל, עדיף לשמור אותם קצרים וממוקדים. Skill אחד גדול פחות יעיל מכמה Skills קטנים: אחד לקוד, אחד לתהליך עבודה, אחד לאבטחה. ככה הסוכן גם מוצא יותר בקלות את המתאים.
Rules מתאימות לדברים שצריכים לחול תמיד בלי יוצא מהכלל, כמו "שפת הפרויקט היא TypeScript" או "תמיד ציין את שם הקובץ לפני שאתה כותב קוד". Skills מתאימות לתהליכים ספציפיים שרלוונטיים רק בחלק מהמשימות, כמו "איך לבצע code review" או "תהליך הוספת feature". חשוב: אם יש סתירה ביניהם, Rules תמיד מנצח.
לא. Skills הם קבצי טקסט בעברית או אנגלית. אם אתם יכולים לכתוב הוראות ברורות, אתם יכולים לכתוב Skill. הכלי עצמו (Claude Code, Cursor, Codex) עושה את השאר. הטכניות היחידה היא לדעת לשמור קובץ בתיקייה הנכונה.

📌 לסיכום

📄 אותו קובץ, כל הכלים

SKILL.md עובד ב-Claude Code, Cursor, ו-Codex. כותבים פעם אחת, מעתיקים לכל מקום.

🎯 On-demand, לא תמיד

Skills נטענים רק כשרלוונטי. שונה מ-CLAUDE.md, AGENTS.md, ו-.cursorrules שתמיד פעילים.

🔁 פעם אחת, לתמיד

כותבים את הכללים פעם אחת. לא חוזרים על הסברים בכל שיחה מחדש.

🛡️ Skills של אחרים = סיכון

תמיד 5 הבדיקות לפני התקנה. אם לא בטוחים, בנו בעצמכם מאפס.