gh skill: Copilot, Claude Code, Cursor를 위한 GitHub CLI 에이전트 스킬 관리

GitHub이 2026년 4월 16일 공개 미리보기로 gh skill 명령을 출시했으며, 이것은 AI 보조 개발에서 가장 지저분한 문제 중 하나를 조용히 해결합니다. 모든 AI 코딩 어시스턴트가 자체 디렉터리 관례, 자체 설치 스토리, 자체 “스킬"에 대한 아이디어를 가질 때 에이전트 스킬을 어떻게 공유하고 거버넌스할 것인가?

.claude/skills, .agents/skills, ~/.copilot/skills 사이에서 SKILL.md 파일을 손으로 복사해 본 적이 있거나, 팀이 신뢰하는 버전을 핀하기 위해 저장소를 포크해 본 적이 있다면, gh skill이 당신이 기다려 온 명령입니다. 에이전트 스킬을 npm이 JavaScript 패키지를 다루고 pip이 Python 라이브러리를 다루는 방식으로 취급. 검색, 설치, 핀, 미리보기, 업데이트, 게시가 1급 동사로.

이 가이드는 gh skill이 실제로 무엇을 하는지, 일상에서 사용할 깔끔한 사용 패턴, 그리고 팀에 걸쳐 스킬을 배포할 계획이라면 중요한 엔터프라이즈 통제를 안내.


핵심 요점

  • gh skill은 AI 에이전트 스킬을 위한 패키지 매니저. 하나의 명령이 GitHub Copilot, Claude Code, Cursor, Codex, Gemini CLI, Antigravity에 걸쳐 작동.
  • 스킬은 GitHub 제품이 아닌 표준. 오픈 Agent Skills 사양을 따릅니다. YAML frontmatter와 함께 SKILL.md 파일과 선택적 scripts/, references/, assets/ 디렉터리.
  • 출처가 내장. gh skill install이 소스, ref, 트리 SHA를 설치된 SKILL.md에 작성하여 gh skill update가 추측 없이 업스트림 변경을 감지.
  • 버전 핀이 1급. 태그(@v1.2.0), 커밋 SHA(@abc123def)에 핀, 또는 루틴 업데이트로부터 보호하기 위해 --pin으로 스킬 표시.
  • gh skill preview가 보안 게이트. 설치 전 스킬의 콘텐츠, 스크립트, allowed-tools를 읽으세요. 특히 shell 또는 bash 접근을 부여하기 전에.
  • 엔터프라이즈 거버넌스가 여전히 중요. 태그 보호, 불변 릴리스, 시크릿 스캐닝, 코드 스캐닝이 모든 내부 스킬 저장소에 켜져 있어야.

에이전트 스킬이 실제로 무엇인가

에이전트 스킬은 AI 에이전트에게 특정 작업을 하는 방법을 가르치는 지침의 디렉터리. PR 설명 생성, OpenAPI 사양 스캐폴드, 보안 리뷰 실행, 코딩 표준 시행. 생태계가 단순한 구조에 수렴:

my-skill/
├── SKILL.md              # 필수: YAML frontmatter + 지침
├── scripts/              # 선택: 에이전트가 실행 가능한 도우미
├── references/           # 선택: 에이전트가 로드 가능한 지원 문서
└── assets/               # 선택: 템플릿, 프롬프트, 픽스처

SKILL.md 파일은 지침과 에이전트가 스킬을 로드할 시기를 결정하는 데 필요한 메타데이터를 모두 전달:

---
name: pr-description-writer
description: 요약, 테스트 계획, 위험 섹션이 있는 구조화된 GitHub pull request 설명을 작성. PR을 열거나 업데이트할 때 사용.
license: MIT
allowed-tools:
  - read
  - write
---

# PR Description Writer

호출 시, 현재 브랜치 diff를 읽고, 변경 범위를 식별,
세 섹션으로 pull request 설명을 생성:

1. **요약** — 의도를 설명하는 2-3 불릿.
2. **테스트 계획** — 변경이 검증된 방법의 체크리스트.
3. **위험** — 롤백과 폭발 반경에 대한 한 문장.

diff가 400줄을 초과하면 `scripts/format-diff.sh`를 사용.

여기서 두 가지 세부 사항이 중요. description 필드(최대 1024자)는 에이전트가 스킬을 로드할지 결정할 때 읽는 것입니다. 그러니 README가 아닌 도구 툴팁처럼 작성. 그리고 allowed-tools가 도구 호출을 사전 승인. shellbash를 목록에서 빼면 에이전트가 터미널 명령을 실행하기 전에 물어보도록 강제하며, 이것이 완전히 감사하지 않은 모든 것을 위한 태세.


깔끔한 사용 예제

이것이 실제로 입력할 명령. 모든 예제는 gh skill이 사용 가능한 GitHub CLI v2.90.0 이상을 가정.

발견: 생태계 검색

# 키워드와 일치하는 스킬을 위해 공개 저장소에 걸쳐 검색
gh skill search mcp

# 큐레이션된 컬렉션을 직접 탐색
gh skill install github/awesome-copilot

스킬 이름 없이 gh skill install OWNER/REPO를 실행하면 저장소의 모든 스킬을 나열하는 대화형 선택기로 떨어집니다. 새 컬렉션을 탐험하는 가장 빠른 방법.

검사: 설치 전 미리보기

# 아무것도 설치하지 않고 스킬의 SKILL.md 출력
gh skill preview github/awesome-copilot documentation-writer

# 대화형 터미널에서, 미리보기가 파일 선택기를 열어
# scripts/와 references/를 개별적으로 검토 가능
gh skill preview github/awesome-copilot security-review

gh skill preview가 보안 게이트. 프로덕션 코드에 닿는 프로젝트에 설치 전에 사용하고, allowed-tools를 주의 깊게 읽으세요. bash를 사전 승인하는 스킬은 에이전트가 그것을 호출하는 순간 임의 명령을 실행할 수 있습니다.

설치: 프로젝트 스코프, 사용자 스코프, 특정 버전

# 현재 프로젝트에 최신 버전 설치(.agents/skills, .claude/skills 등)
gh skill install github/awesome-copilot documentation-writer

# 사용자 프로필에 설치하여 모든 프로젝트에 걸쳐 사용 가능
gh skill install github/awesome-copilot documentation-writer --scope user

# 특정 릴리스 태그에 핀
gh skill install github/awesome-copilot documentation-writer@v1.2.0 --pin

# 최대 재현성을 위해 특정 커밋 SHA에 핀
gh skill install github/awesome-copilot documentation-writer@abc123def --pin

# 하나의 에이전트 호스트만을 위해 설치(스킬이 도구별로 갈라질 때 유용)
gh skill install github/awesome-copilot documentation-writer --agent claude-code

gh skill이 각 에이전트가 스킬을 어디에 기대하는지 압니다. 설치 시 Copilot과 Cursor를 위해 .agents/skills에, Claude Code를 위해 .claude/skills에, 그리고 머신에 구성된 것에 기반해 다른 모든 지원 호스트를 위한 동등한 경로에 자동으로 작성.

업데이트: 먼저 드라이-런, 그리고 전진

# 모든 설치된 스킬을 스캔하고 업스트림 변경이 있는 것 표시 — 쓰기 없음
gh skill update --dry-run

# 대화형으로 업데이트, 각 변경에 대해 프롬프트
gh skill update

# 비-대화형 업데이트(CI/CD에서 사용)
gh skill update --all

# 이전에 핀된 스킬 포함
gh skill update --all --unpin

업데이트 메커니즘이 gh skill install이 각 SKILL.md에 작성한 트리 SHA를 읽고 업스트림 저장소에 비교. 그래서 출처가 선택 사항이 아닙니다. 안전한 업데이트를 가능하게 하는 프리미티브.

게시: 자신의 스킬 출시

하나 이상의 스킬 디렉터리를 포함하는 저장소에서 시작:

# 게시 없이 agentskills.io 사양에 대해 모든 것 검증
gh skill publish --dry-run

# 일반적 이슈 자동 수정(커밋된 파일에서 설치 메타데이터 제거 등)
gh skill publish --dry-run --fix

# 대화형 게시: 릴리스 태그와 GitHub Releases 열기
gh skill publish

게시가 스킬 이름(소문자, 하이픈, 64자 최대)을 검증하고, 필수 frontmatter가 있는지 확인하며, allowed-tools가 올바른 타입인지 검사. 또한 agent-skills 저장소 토픽을 활성화하고 태그 보호, 시크릿 스캐닝, 코드 스캐닝을 권장. 다른 사람이 설치할 모든 스킬 저장소에 원하는 최소 통제.

CI/CD: GitHub Actions 워크플로에서 스킬 설치

name: Copilot CLI로 릴리스 노트

on:
  push:
    tags:
      - 'v*'

jobs:
  release-notes:
    runs-on: ubuntu-latest
    permissions:
      contents: write
    steps:
      - uses: actions/checkout@v4

      - name: GitHub CLI 스킬 설치
        env:
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
        run: |
          gh skill install github/awesome-copilot release-notes-writer@v1.2.0 --pin

      - name: 릴리스 노트 생성
        env:
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
        run: |
          gh copilot run "Write release notes for $GITHUB_REF_NAME using the release-notes-writer skill" \
            --allow-all-paths \
            > RELEASE_NOTES.md

      - name: 릴리스 게시
        env:
          GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
        run: gh release create "$GITHUB_REF_NAME" --notes-file RELEASE_NOTES.md

이 패턴 — 스킬 핀, Copilot CLI를 통해 호출, 출력 커밋 — 변경로그 생성, 보안 요약, 컴플라이언스 보고서, 온보딩 스캐폴딜에 일반화.

엔터프라이즈: 개발자 환경 대량 부트스트랩

#!/usr/bin/env bash
# bootstrap-skills.sh — 새 랩톱 또는 Codespaces에서 실행

set -euo pipefail

SKILLS=(
  "myorg/skills security-review@v2.1.0"
  "myorg/skills pr-description-writer@v1.4.0"
  "myorg/skills terraform-reviewer@v3.0.1"
  "github/awesome-copilot documentation-writer@v1.2.0"
)

for spec in "${SKILLS[@]}"; do
  gh skill install $spec --scope user --pin
done

gh skill update --dry-run

모든 스킬을 핀하고 --pin으로 다시 핀하는 것이 부트스트랩 스크립트를 결정론적으로 만듦. 모든 개발자가 보안 팀이 승인한 정확한 버전을 받으며, 스크립트를 업데이트할 때까지 아무것도 조용히 변경되지 않음.


엔터프라이즈 팀을 위해 gh skill이 중요한 이유

gh skill 전에, 대규모 조직에서 “스킬 공유"는 보통 Slack 메시지, zip 파일, 또는 릴리스 태그가 없는 포크된 저장소처럼 보였습니다. 한 팀 규모에서 작동했고 한 회사 규모에서 깨졌습니다. gh skill을 정규 배포 메커니즘으로 채택할 때 바뀌는 것.

관심사gh skill 전gh skill과 함께
발견부족 지식, Slack 핀gh skill search + 큐레이션된 조직 저장소
버전 관리“최신 메인” 또는 수동 복사Git 태그, 커밋 SHA, --pin 플래그
업데이트 감지수동 diffSKILL.md 메타데이터에서 트리 SHA 비교
이식성에이전트당 하나의 스킬, 복제하나의 스킬, 6개 에이전트, 자동 배치
보안 리뷰임시gh skill preview + 게시 시간 스캐닝
감사없음frontmatter의 소스, ref, 트리 SHA

감사 행이 엔터프라이즈 보안 팀이 가장 관심하는 것. 소스 저장소, git ref, 트리 SHA가 설치된 SKILL.md에 직접 작성되므로, 개발자의 랩톱을 걸어 “어떤 스킬이, 어디서, 어떤 버전으로 설치되었나?“라는 질문에 단순 find 명령으로 답할 수 있습니다. 별도 인벤토리 시스템 불필요.


잘 이동하는 보안 패턴

세 가지 실천이 새 도구 없이 단일 개발자에서 엔터프라이즈로 확장.

1. 설치 전 미리보기, 매번. gh skill preview OWNER/REPO skill-name을 리뷰 체크리스트의 일부로 만드세요. SKILL.mdscripts/ 디렉터리의 2분 읽기가 대부분의 위험 신호를 잡습니다. 프롬프트 인젝션, 예상치 못한 네트워크 호출, 작업 트리 밖에 쓰는 모든 것.

2. allowed-tools에 대해 무자비하세. 스킬이 참조하는 모든 스크립트를 감사하지 않는 한 allowed-tools에서 shellbash를 생략. 에이전트가 명령 실행 전 물어보도록 강제하는 것이 공격자-제어 스킬이나 프롬프트-인젝션 페이로드에 대한 가장 큰 통제.

3. 내부 스킬 저장소 강화. gh skill publish가 태그 보호, 시크릿 스캐닝, 코드 스캐닝을 활성화하라고 재촉할 때, 세 가지 모두에 예. 특히 태그 보호가 릴리스를 불변으로 만들어, 다운스트림 소비자가 태그에 --pin을 신뢰할 수 있게.

이 통제가 엔터프라이즈 AI 프로그램에 어떻게 맞는지 더 넓은 프레임을 원하면 — 모델 거버넌스, MCP 서버 정책, 에이전트 예산 통제 포함 — 엔터프라이즈 AI 에이전트 컨설팅 가이드와 Copilot CLI 엔터프라이즈 하네스 글을 보세요. 같은 원칙이 적용: 스킬이 새로운 공격 표면이며, 답은 거부가 아닌 거버넌스.


더 넓은 생태계에서 gh skill이 맞는 곳

gh skill은 빠르게 움직이는 환경의 한 조각. 스킬 전략을 구축 중이라면, 이 관련 조각들을 함께 이해할 가치:

  • agentskills.io의 Agent Skills 사양gh skill이 검증하는 오픈 표준.
  • Claude Code와 Gemini CLI 스킬 작성Claude Code와 Gemini CLI에 걸친 스킬 생성 도구 글에서 다룸.
  • Model Context Protocol (MCP) — 스킬과 MCP 서버가 상호 보완. 스킬이 지침을 전달; MCP 서버가 역량을 전달. 가장 강력한 에이전트 구성이 둘 다 사용.
  • Windows 365 + Intune 거버넌스 — 개발자 랩톱이 Cloud PC일 때, 스킬 배포가 Intune 컨설팅 문제가 됨, 단순 개발자-도구 문제가 아닌.

gh skill 변경로그는 명령이 공개 미리보기 동안 변경될 수 있음을 명시하므로, 다음 몇 릴리스에 걸쳐 인터페이스가 진화할 것으로 예상. 기본 — SKILL.md, 출처 메타데이터, 태그-및-SHA 핀 — 은 안정적 베팅.


시작 체크리스트

  1. GitHub CLI를 v2.90.0 이상으로 업그레이드(gh --version).
  2. gh skill --help를 실행하여 명령이 사용 가능한지 확인.
  3. 설치 전 미리보기. gh skill preview를 근육 기억으로.
  4. 프로덕션에서 모두 핀. CI/CD에서 실행되는 모든 스킬에 --pin과 특정 태그 또는 SHA 사용.
  5. 내부 스킬 저장소 생성. agent-skills 토픽 추가, 태그 보호 활성화, 시크릿과 코드 스캐닝 활성화, gh skill publish로 첫 내부 스킬 출시.
  6. 거버넌스 모델 문서화. 새 스킬을 누가 승인? 내부 레지스트리를 누가 소유? allowed-tools를 누가 리뷰?

팀이 더 넓은 엔터프라이즈 AI 롤아웃의 일부로 스킬 거버넌스를 세우는 데 도움이 필요하다면, Big Hat Group의 OpenClaw 컨설팅 실무가 전체 스택을 다룹니다 — 스킬, MCP 서버, 에이전트 거버넌스, Windows 365 전달, Intune 정책.

GitHub의 2026년 4월 릴리스 전반에 걸친 더 넓은 스토리 — VS Code 1.116의 내장 Copilot, 더 엄격한 개인 플랜, Claude Opus 4.7 롤아웃, 그리고 gh skill 자체 — 는 최신 Copilot Weekly에서 다룸.

스킬이 마침내 1급 산물. 그렇게 출시.