두 에이전트 스킬이 같은 주에 GitHub 트렌드에 올랐다. 스킬이 새로운 패키지가 되고, 관리되지 않은 의존성 그래프가 4분기까지

출처: Dev.to

이번 주 GitHub 트렌딩에 숨겨진 신호

두 개의 에이전트 형태 레포지토리가 이번 주 일일 GitHub 트렌딩 보드를 장악했습니다. 첫 번째는 mvanhorn/last30days-skill 으로, Reddit, X, YouTube, Hacker News, Polymarket 등에서 주제를 조사하고 근거 있는 요약을 합성하는 Claude 스타일 스킬입니다. 두 번째는 NousResearch/hermes-agent 로, “당신과 함께 성장하는 에이전트”라고 내세우는 영구적인 에이전트 런타임이며 세션 간 컨텍스트를 누적합니다. 두 레포 모두 같은 주에 순위에 올랐으며, 스킬 형태를 가지고 있습니다: 매니페스트, 트리거, 명령 집합, 그리고 런타임 기대치.

두 스킬 레포가 동시에 GitHub 트렌딩에 오르는 것은 처음 본 일입니다. 대부분의 관찰자는 이를 멋진 사이드 프로젝트로 여기고 포크하고 스타를 찍은 뒤 지나칠 것입니다. 맞아요, 멋진 사이드 프로젝트입니다. 하지만 이것은 에이전트 생태계가 9개월째 향해 오던 위상 전환이기도 합니다. 4분기에는 여러분이 6월 초에 이 신호를 읽었어야 했다고 후회하게 될 겁니다. 곧 프로덕션 에이전트에 도입될 의존성 그래프 문제는 2011~2018년 npm 생태계가 겪었던 문제와 동일하지만, 더 빠르고, 도구가 부족하며, 훨씬 큰 파급 효과를 가집니다.

이 글은 바로 그 위상 전환에 관한 것입니다. 스킬에 대한 벤치마크 커버리지는 어디에나 있지만, 대규모 플릿에서 이를 관리할 실제 운영 모델을 찾기란 쉽지 않습니다. 여기 하나 제시합니다.

사실에 기반해 추론하기

last30days-skill (mvanhorn) 은 단일 스킬 번들입니다. SKILL.md 에는 호스트 에이전트에게 다음과 같이 지시합니다: 사용자가 최신 뉴스, 논란, 혹은 특정 주제에 대한 감정을 묻는 경우, 최소 8개의 쿼리를 5개 플랫폼에 걸쳐 30일 이내 최신 데이터를 기준으로 구조화된 다중 소스 페치를 수행하고, 이를 합성하라. 이 스킬은 프롬프트 스캐폴딩, 쿼리 템플릿, 합성 루브릭을 함께 제공합니다. 전체는 명령과 헬퍼 스크립트를 포함해 약 600줄 정도이며, 설치는 스킬 디렉터리에 git clone 하면 끝납니다. 패키지 매니저나 버전 협상이 필요 없습니다.

hermes-agent (NousResearch) 는 단일 스킬이라기보다 에이전트 런타임에 가깝지만, 동일한 조합 가능성 가정을 가지고 있습니다: 기존 에이전트 호스트에 넣고, 트리거를 선언하고, 실행 간 컨텍스트를 지속시키면 됩니다. 이는 2023년 이후 모든 채팅 제품이 해결하려고 애쓰는 “당신을 기억하는 에이전트” 문제를 목표로 합니다. 흥미로운 점은 메모리 레이어 자체가 아니라, NousResearch 가 이를 독립 제품이 아닌 기존 호스트에 끼워 넣는 형태로 제공한다는 점입니다.

Claude Code 자체도 같은 주에 v2.1.168 을 배포했습니다. 이는 일주일에 세 번째 릴리스이며, 스킬 생태계가 그 기반 플랫폼보다 더 빠르게 움직이고 있음을 보여줍니다—대부분의 생태계가 반대 방향으로 진행되는 것과는 정반대입니다.

네 가지 핵심 사실

1. 스킬을 GitHub에 공개하고 트리거 조건을 검색 가능하게 만들 수 있다.
2. Claude Code 사용자가 아닌 사람들도 이 스킬에 스타를 찍고 있다.
3. 포맷이 SKILL.md + 매니페스트 + 번들 스크립트 형태로 수렴하고 있다.
4. 서로 다른 두 저자가 협업 없이 같은 주에 트렌딩에 올랐다.

이는 기능이 아니라 생태계의 초기 신호입니다.

npm 초기와의 패턴 일치

1. 인기 런타임이 확장 메커니즘을 제공한다 (Node의 CommonJS, Claude Code의 skills 디렉터리).
2. 파워 유저가 자신만의 확장을 만든다.
3. 검색 가능한 포맷이 수렴한다 (package.json, SKILL.md).
4. 런타임 제작자는 레지스트리 관리에 대한 약속 없이 포맷을 승인한다.
5. 작성자들이 공개 호스트에 확장을 배포하기 시작한다 (npm 레지스트리, GitHub).
6. 사람들이 기본 기능을 직접 구현하기보다 확장을 조합한다.
7. 의존성 그래프 자체가 실제 제품이 된다.
8. 5년 뒤, 아무도 대비하지 못한 공급망 문제가 주요 운영 리스크가 된다.

npm 타임라인에서는 2011년부터 2016년까지 위 과정을 겪었고, 2018년에 공급망 공포가 폭발했습니다—event-stream, colors.js 사건, 수십 건의 타이포스쿼팅 공격 등. 에이전트‑스킬 타임라인은 2025년 말 Claude Code의 스킬 기능이 정식으로 출시되면서 시작됐으며, 2026년 1분기에 MCP 서버가 툴 인젝션 레이어를 표준화하면서 가속화되었습니다. 현재 2026년 6월, 우리는 2014년 npm 시점과 맞먹는 순간에 도달했습니다.

이번에는 다르게, 더 빠르게 진행된다

• 포맷이 대부분 텍스트라서 스킬을 작성하는 비용이 거의 0에 가깝습니다. npm 패키지는 JavaScript 구현이 필요했지만, 스킬은 올바른 형태의 마크다운 파일만 있으면 됩니다. 프롬프트를 쓸 수 있다면 누구든 배포할 수 있습니다.
• 런타임이 Node보다 강력합니다. 스킬은 네트워크 호출, 파일 쓰기, MCP 툴 디스패치, 하위 에이전트 호출 등을 트리거할 수 있습니다. 악성 스킬의 파급력은 악성 npm 패키지보다 여러 단계 더 큽니다.
• 아직 중앙 레지스트리가 없다. 현재는 GitHub 트렌딩과 입소문에 의존하고 있습니다. 이는 안정적인 정상 상태가 아닙니다.
• 속도가 더 빠르다. npm은 2014년에 10만 개 패키지에 도달했지만, 공개 스킬은 6개월 만에 이미 수천 개에 달합니다. 앞으로를 예상해 보세요.

만약 여러분이 자체 모노레포가 아닌 외부에서 스킬을 로드하는 에이전트를 배포한다면, 이제는 “스킬 공급망 사고가 발생할지”가 아니라 “언제 발생할지”와 “팀이 고객 티켓을 통해 알게 될지, 사전에 만든 런북을 통해 알게 될지”가 문제입니다.

네 가지 아키타입, 가장 가까운 것을 선택하라

1. 고객용 에이전트를 배포하고, 팀이 VS Code 확장처럼 스킬을 설치한다—추천에 따라, 불규칙하게, 감사 없이. CISO는 스킬을 모른다. 사고 대응 매뉴얼에도 스킬이 언급되지 않는다.
2. 에이전트 플랫폼 또는 개발자 도구를 판매한다—고객이 스킬을 설치할 수 있다. 큐레이션, 게이트, 혹은 방임 중 어느 쪽을 선택할지 아직 결정하지 않았다. 선택한 쪽이 곧 현실이 된다.
3. 내부 에이전트 플릿을 운영한다—코드 리뷰, 지원 라우팅, 운영 자동화 등. 서로 다른 팀이 서로 다른 에이전트에 서로 다른 스킬을 설치하고, 전체 목록을 관리하는 주체가 없다. 일부 스킬은 git pull 로 자동 업데이트되지만 차이를 검토하지 않는다.
4. 솔로 창업자 혹은 2인 팀이 빠르게 배포한다—지난 분기에 8개의 스킬을 설치했지만 이름을 30초 안에 말할 수 없다. 마지막 에이전트 실행에서 어떤 스킬이 트리거됐는지도 파악하지 못한다.

네 경우 모두 같은 근본 문제를 안고 있다: 에이전트 스택의 스킬 레이어에 인벤토리, 버전 고정, 감사, 조합 테스트가 없다. 3개월 전까진 스킬이 아직 큰 영향을 주지 않아 괜찮았