2026年4月、GitHub公式がgh CLIに gh skill という新サブコマンドを追加した。Agent Skills(AIエージェント向けの専門知識パッケージ)を、gh skill install の1コマンドで導入・管理できる仕組みだ。
これまで各AIコーディングエージェント(Claude Code / GitHub Copilot / Cursor / Codex / Gemini CLI / Antigravity)ごとにバラバラだったスキル配布方法が、GitHub公式の統一インターフェースに集約されるという大きな変化であり、AIエージェント運用の業界標準の候補として注目される。
本記事では、gh skillの前提条件・基本コマンド体系・awesome-copilot連携・サプライチェーン対策・公開手順までを、公式changelogの仕様に基づいて日本語で解説する。
gh skillとは — GitHub CLI公式のAgent Skills管理コマンド
gh skill は GitHub CLI に組み込まれた、Agent Skills(エージェント向けのタスク固有の知識パッケージ)を管理するサブコマンド群だ。2026年4月16日にPublic Previewとして発表された。
登場の背景
AIコーディングエージェントの実運用で、以下の問題が顕在化していた:
| 課題 | 具体例 |
|---|---|
| スキル配布の分散 | Anthropic公式・awesome-copilot・Cursor公式など配布元がバラバラ |
| エージェントごとの互換性 | Copilot向けスキルがClaude Codeで動くかが不明瞭 |
| バージョン管理の属人化 | SKILL.mdをSlackで送り合う運用が発生 |
| セキュリティ検証の不在 | 第三者のスキルを無検証で利用 |
gh skill はこれらを「GitHub公式の統一インターフェースでスキルを検索・インストール・公開する」という方針で解決する。配布元が異なっても、gh skill を介せば同じコマンド体系で扱える。
公開ステータスと対応エージェント
2026年4月時点のステータスは以下の通り。
| 項目 | 内容 |
|---|---|
| 公開ステータス | Public Preview(仕様変更の可能性あり) |
| 必要なgh CLIバージョン | v2.90.0以上 |
| 対応エージェント | GitHub Copilot / Claude Code / Cursor / Codex / Gemini CLI / Antigravity |
| 配布リポジトリ | GitHub上の任意の公開リポジトリ |
| 仕様準拠 | agentskills.io |
公開プレビュー段階では仕様が予告なく変更される可能性がある。CI/CDに組み込む場合は、
gh --version で明示的にv2.90.0以上を確認し、サブコマンドの挙動を定期的にchangelogで確認する運用を推奨する。
インストールと前提条件 — gh CLI v2.90.0以上へ更新
gh skill を使うには、GitHub CLI本体をv2.90.0以上に更新するだけでよい。別途プラグインやエクステンションをインストールする必要はない。
gh CLI のインストール/アップデート
# macOS(Homebrew)
brew install gh # 新規インストール
brew upgrade gh # 既存インストールをアップデート
# Windows(winget)
winget install --id GitHub.cli
winget upgrade GitHub.cli
# Linux(apt系)
sudo apt-get update
sudo apt-get install gh
sudo apt-get upgrade gh
# バージョン確認
gh --version
# gh version 2.90.0 以上であることを確認
初回セットアップ
# GitHubアカウントで認証(初回のみ)
gh auth login
# gh skill のヘルプを確認
gh skill --help
# 利用可能なサブコマンド一覧(Public Preview)
# install — スキルをインストール
# search — スキルを検索
# publish — 自分のスキルを公開
# update — インストール済みスキルを更新
# preview — スキルを試用(ローカル検証)
Copilotサブスクリプションやエンタープライズプランは必要ない。パブリックリポジトリのスキルをインストールするだけなら、無料のGitHubアカウントがあれば利用できる。プライベートリポジトリのスキルにアクセスする場合は、そのリポジトリへのread権限が必要だ。
基本コマンド体系 — install / search / publish / update / preview
gh skill の5つのサブコマンドを、それぞれユースケース付きで解説する。
gh skill search — スキルを検索する
# キーワードでスキルを検索
gh skill search copilot
# より具体的なキーワード
gh skill search mcp-apps
gh skill search documentation
gh skill search code-review
検索結果にはリポジトリ名・スキル名・説明・スター数などが一覧表示される。awesome-copilotやAnthropic公式skillsなど、主要な配布リポジトリが横断的にヒットする。
gh skill install — スキルをインストールする
gh skill install は、GitHubリポジトリから指定スキルを取得してローカルに配置する。対応エージェントに応じた適切なディレクトリに自動配置される。
# 基本形:リポジトリ名とスキル名を指定
gh skill install github/awesome-copilot documentation-writer
# バージョンタグで固定(リリースピン)
gh skill install github/awesome-copilot [email protected]
# コミットSHAで固定(サプライチェーン対策)
gh skill install github/awesome-copilot documentation-writer@abc123def
# --pinフラグを使う書き方(上記と同等)
gh skill install github/awesome-copilot documentation-writer --pin v1.2.0
gh skill install github/awesome-copilot documentation-writer --pin abc123def
(Claude Code等) U->>G: gh skill install org/repo skill-name G->>R: リポジトリからSKILL.md取得 G->>G: agentskills.io 仕様チェック G->>G: 対応エージェントを判定 G->>E: 適切なディレクトリへ配置 E->>U: スキルが即時利用可能 Note over U,E: 手動コピー・設定ファイル編集は不要
gh skill publish — 自分のスキルを公開する
自作のスキルを他のユーザーに使ってもらうには gh skill publish を実行する。事前にGitリポジトリとしてcommitされている必要がある点に注意が必要だ。
# 現在のリポジトリからスキルを公開
cd my-skill-repo
gh skill publish
# 公開時は以下が自動でチェックされる:
# 1. skills/<name>/SKILL.md 構造に準拠しているか
# 2. agentskills.io 仕様へのバリデーション
# 3. リポジトリのセキュリティ設定
# - tag protection
# - secret scanning
# - code scanning
gh skill publish はgit管理されたリポジトリのみを対象にする。SKILL.mdを作成しただけではpublishできない。git init、git add、git commit を先に済ませ、リモートリポジトリ(GitHub)にpushしておく必要がある。
gh skill update — インストール済みスキルを更新する
# 全スキルを最新版に更新
gh skill update
# 特定スキルだけ更新
gh skill update documentation-writer
バージョンピンで固定しているスキルは、pinned タグ/SHAに固定されたままで、自動では更新されない。明示的に新しいバージョンにピンし直す必要がある。
gh skill preview — ローカル検証
公開前に手元のスキルを試用できる。publish 前の最終確認に使う。
# ローカルのSKILL.mdをエージェントに読み込ませて挙動確認
gh skill preview ./skills/my-skill
awesome-copilotからスキルを取得する
awesome-copilot はGitHub公式が運営する、厳選されたAgent Skillsのマーケットプレイス的リポジトリだ。gh skill の主要な配布元の一つとして位置づけられている。
awesome-copilotで提供されている代表的スキル
| スキル名 | 用途 |
|---|---|
documentation-writer |
README / APIドキュメントの生成補助 |
code-reviewer |
PR単位のコードレビュー自動化 |
test-writer |
テストケースの自動生成 |
refactor-assistant |
既存コードのリファクタ提案 |
context-engineering |
プロンプト設計・コンテキスト構築 |
api-architect |
REST/gRPC API設計補助 |
実際のインストール例
# ドキュメント生成スキルをClaude Codeにインストール
gh skill install github/awesome-copilot documentation-writer \
--agent claude-code \
--scope user
# 同じスキルをCursorにもインストール
gh skill install github/awesome-copilot documentation-writer \
--agent cursor \
--scope workspace
# コードレビュー自動化スキル(全エージェント向けに自動選択)
gh skill install github/awesome-copilot code-reviewer
--agent と --scope フラグについては後述する。awesome-copilot の大半のスキルは複数エージェントに対応しており、同じスキルをCopilot / Claude Code / Cursor で共有できる。
awesome-copilot には「スキルのベストプラクティス例」が集約されており、自作スキルを書くときの参考リソースにもなる。
gh skill search <keyword> でawesome-copilot以外の信頼できるリポジトリも合わせて探せる。
Obsidianでskillを管理する実践ガイド で解説したskill設計原則に沿って、自社用スキルを awesome-copilot から派生させる運用もしやすい。
サプライチェーン対策 — SHA固定とバージョンピン
スキルはGitリポジトリから取得される。信頼できないリポジトリのスキルをインストールすると、SKILL.md に隠された指示によってエージェントの挙動が改変されるプロンプトインジェクション攻撃のリスクがある。
タグとSHAの違い — なぜSHA固定が重要か
# ❌ 危険:タグは後から書き換え可能
gh skill install org/repo [email protected]
# ✅ 安全:コミットSHAは不変
gh skill install org/repo skill-name@abc123def5678
Gitのタグは git tag -f で強制的に書き換えできる。Renovate/Dependabotで守るサプライチェーン防御 で扱ったTrivy侵害と同じく、攻撃者がメンテナアカウントを乗っ取った場合、既存タグ v1.2.0 を汚染バージョンを指すように書き換えられる。
一方、コミットSHAは内容を1ビットでも変更すれば別のSHAになるため、SHA固定していれば改ざんを検出できる。
–pin フラグによる明示的固定
# --pinで明示的に固定
gh skill install github/awesome-copilot documentation-writer --pin abc123def
# チーム全員が同じSHAを使うためのスクリプト化例
#!/bin/bash
# install-skills.sh — チーム共通のスキルインストーラ
gh skill install github/awesome-copilot documentation-writer --pin abc123def
gh skill install github/awesome-copilot code-reviewer --pin def456ghi
gh skill install anthropics/skills frontend-design --pin 789abcdef
このスクリプトをリポジトリにコミットしておけば、各メンバーが ./install-skills.sh を実行することで、全員が完全に同一のSHAのスキルを取得できる。
公開スキルの事前審査
gh skill publish 時のチェック項目は、そのまま「信頼できるスキル」の判断基準にもなる:
| チェック項目 | 意味 |
|---|---|
| agentskills.io仕様準拠 | SKILL.md構造が標準仕様に沿っている |
| tag protection | 特定タグのforce pushが禁止されている |
| secret scanning | シークレット漏洩の自動検出が有効 |
| code scanning | CodeQLなどのコード脆弱性スキャンが有効 |
スキルをインストールする前に、配布リポジトリで上記の設定が有効かを確認することで、プロンプトインジェクション攻撃の大半を回避できる。
スキルを公開する — gh skill publish の使い方
自作のスキルをチームや公開コミュニティに配布する手順を示す。
前提:skills//SKILL.md ディレクトリ構造
gh skill publish が要求するディレクトリ構造は以下の通り:
my-skill-repo/
├── README.md # リポジトリの説明
├── skills/
│ ├── documentation-writer/
│ │ └── SKILL.md # スキル本体(必須)
│ ├── code-reviewer/
│ │ └── SKILL.md
│ └── test-writer/
│ └── SKILL.md
└── LICENSE
1リポジトリに複数のスキルを含めることができる(モノレポ構成)。
SKILL.md の記述例
# skills/documentation-writer/SKILL.md
---
name: documentation-writer
description: READMEやAPIドキュメントを生成するスキル
version: 1.2.0
compatible_agents:
- claude-code
- copilot
- cursor
---
## When to use
- 新規機能開発後にREADMEを更新するとき
- APIエンドポイントのドキュメント生成時
- OSSリリース前のCHANGELOG作成時
## How to apply
1. 対象コードを読み込む
2. 既存READMEの構造を保持したまま新機能を追記する
3. コードスニペットと使用例を必ず含める
4. セマンティックバージョニング準拠のリリースノートを生成
## Examples
### Before
publish の実行フロー
仕様チェック"} E -->|"NG"| F["エラー表示
修正して再実行"] E -->|"OK"| G{"セキュリティ設定
チェック"} G -->|"不十分"| H["警告表示
設定を推奨"] G -->|"OK"| I["公開完了
gh skill searchで発見可能に"] style D fill:#238636,color:#fff style I fill:#238636,color:#fff style F fill:#cf222e,color:#fff
# 完全な公開フロー
cd my-skill-repo
# 1. Gitリポジトリとして初期化(未初期化の場合)
git init
git remote add origin https://github.com/myorg/my-skill-repo.git
# 2. SKILL.mdを作成してコミット
git add skills/documentation-writer/SKILL.md
git commit -m "feat: add documentation-writer skill"
git push -u origin main
# 3. リポジトリのセキュリティ設定を推奨レベルに
# (GitHub Web UIまたはghコマンドで設定)
gh repo edit --enable-secret-scanning
gh repo edit --enable-advanced-security # 有料プラン
# 4. 公開
gh skill publish
# → agentskills.io仕様チェック
# → tag protection / secret scanning / code scanning 確認
# → 公開完了
複数エージェント対応 — –agent と –scope フラグ
gh skill の強みは、同じスキルを複数のエージェントに展開できる点にある。これを制御するのが --agent と --scope フラグだ。
–agent フラグ — 対象エージェントの指定
# Claude Code向けにインストール(~/.claude/skills/ に配置)
gh skill install github/awesome-copilot code-review --agent claude-code
# Cursor向け(.cursor/rules/ に配置)
gh skill install github/awesome-copilot code-review --agent cursor
# GitHub Copilot向け(.github/skills/ に配置)
gh skill install github/awesome-copilot code-review --agent copilot
# Codex向け
gh skill install github/awesome-copilot code-review --agent codex
# Gemini CLI向け
gh skill install github/awesome-copilot code-review --agent gemini-cli
# Antigravity向け
gh skill install github/awesome-copilot code-review --agent antigravity
--agent を省略した場合、gh skill はSKILL.mdの compatible_agents 指定に基づいて、ローカル環境で検出できるエージェントに自動配置する。
–scope フラグ — インストール範囲の指定
# user スコープ:ユーザー全体(~/ 配下)にインストール
gh skill install github/awesome-copilot code-review --scope user
# workspace スコープ:現在のプロジェクトのみ(./ 配下)にインストール
gh skill install github/awesome-copilot code-review --scope workspace
| スコープ | 配置先 | 用途 |
|---|---|---|
user |
~/.claude/skills/ など |
個人の全プロジェクトで共通利用 |
workspace |
./.claude/skills/ など |
プロジェクト固有のスキル |
複数エージェント × 複数スコープの組み合わせ
awesome-copilot/code-review"] --> B["--agent"] A --> C["--scope"] B --> D["claude-code"] B --> E["cursor"] B --> F["copilot"] B --> G["codex / gemini-cli / antigravity"] C --> H["user
(~/.agent/)"] C --> I["workspace
(./.agent/)"] D --> J["実際の配置先が
自動決定される"] E --> J F --> J G --> J H --> J I --> J style A fill:#238636,color:#fff style J fill:#0078d4,color:#fff
workspace スコープで
./.claude/skills/ や ./.cursor/rules/ に配置すると、これらのディレクトリをgitで管理できる。PRレビューでスキルの追加・更新を統制でき、git clone した全メンバーが同じスキルを即座に利用可能になる。
gh skill vs Microsoft APM — 使い分けと併用パターン
gh skill と同時期に、Microsoftが発表した Microsoft APM(Agent Package Manager) も同じく「AIエージェントの依存管理」を扱うツールだ。両者の使い分けと併用パターンを整理する。
機能比較
| 観点 | gh skill | Microsoft APM |
|---|---|---|
| 対象規模 | 個人・小規模チーム | 中〜大規模チーム・組織 |
| 管理対象 | Agent Skills(SKILL.md)中心 | Skills + instructions + prompts + agents + hooks + plugins + MCP設定 |
| マニフェスト | なし(コマンドで直接指定) | apm.yml で一元宣言 |
| 依存解決 | 各メンバーが個別にインストール | apm install で一括解決 |
| ガバナンス | リポジトリ側のセキュリティ設定のみ | apm-policy.yaml で組織ポリシー |
| CI/CD統合 | シェルスクリプト | microsoft/apm-action@v1 |
| 配布元 | GitHubのみ | GitHub / GitLab / Bitbucket / Azure DevOps |
| 提供元 | GitHub公式 | Microsoft(OSS) |
| バージョン固定 | @tag / @sha / --pin |
#v1.0.0 形式 |
使い分けの判断フロー
共有したい"] --> B{"チーム規模は?"} B -->|"個人・1-2名"| C{"管理対象は?"} B -->|"3名以上"| D["APM を選択"] C -->|"Skillsだけ"| E["gh skill を選択"] C -->|"Skills + MCP + instructions"| D D --> F{"組織ポリシー必要?"} F -->|"必要"| G["APM + apm-policy.yaml"] F -->|"不要"| H["APM 標準設定"] style E fill:#238636,color:#fff style D fill:#0078d4,color:#fff style G fill:#0078d4,color:#fff
ハイブリッド運用:試用 → 量産のフロー
実運用では両者を組み合わせるパターンが現実的だ。
# Step 1: 個人で gh skill で素早く試す
gh skill install github/awesome-copilot documentation-writer \
--agent claude-code --scope user
# Step 2: 使ってみて良さそうなら apm.yml に追加
# apm.yml
dependencies:
apm:
- github/awesome-copilot/skills/documentation-writer#v1.2.0
# Step 3: apm install でチーム全体に展開
apm install
この「gh skillで試用 → APMで量産展開」のフローにより、個人の学習コストを抑えつつ、採用が決まったスキルはチーム標準として統制できる。
チーム規模が小さい段階では gh skill単独で十分。人数が増えた時点でAPMへの移行を検討する。APMの
apm.yml にGitHub上のスキルを列挙するだけでも、gh skill と同等のセットアップ工数で組織的な管理が始められる。
まとめ:AIエージェントの「スキル標準インフラ」としてのgh skill
gh skill は「AIエージェントのスキル管理」という、2026年に急速に顕在化した課題に対するGitHub公式の回答だ。
- GitHub公式CLI統合 — gh CLI v2.90.0+に組み込み、別途ツール不要
- マルチエージェント対応 — Copilot / Claude Code / Cursor / Codex / Gemini CLI / Antigravity の6種
- サプライチェーン対策 — SHA固定、agentskills.io仕様バリデーション、tag protection/secret scanning確認
- シンプルなコマンド体系 — install / search / publish / update / preview の5つ
- awesome-copilot連携 — GitHub公式キュレーションリポジトリから即座にスキル取得
現時点ではPublic Previewと初期段階だが、Claude Codeベストプラクティス や MCPサーバー運用 と組み合わせることで、2026年のAIエージェント開発のベース環境として成熟していくだろう。
組織向けの高度な統制が必要な場合は Microsoft APM との併用も検討しつつ、まずは gh skill をインストールしてawesome-copilotからスキルを1つ取得するところから始めると、効果が実感しやすい。
参照ソース
- GitHub Blog Changelog: Manage agent skills with GitHub CLI (2026-04-16) — gh skill公式発表
- GitHub CLI Documentation — gh CLI公式ドキュメント
- github/awesome-copilot — 公式キュレーションリポジトリ
- agentskills.io — Agent Skills仕様サイト
- Anthropic Skills Repository — Anthropic公式skillsリポジトリ
