每一位尝试在专业平台上使用 AI 编码智能体的开发人员、站点可靠性工程师 (SRE) 或分析师都会遇到同样的问题。您要求智能体编写查询、配置警报或调查某件事,结果接近但不完全正确。Elastic 在这方面具有优势:十多年来积累的文档、博客文章和社区解答意味着 AI 智能体比大多数数据平台更了解 Elastic。但这种深度也伴随着噪音。已弃用的 API 与当前的 API 并存。过时的模式与最佳实践的排名一样高。该智能体自信地复现了三个版本前行之有效的方法,因为在其训练数据中,这种方法确实奏效了。结果是产生了纠错税:用户手动将文档输入上下文,修复虚构的语法,并绕过智能体,而不是与智能体合作。更糟糕的是,高级功能完全未被使用,不是因为用户不需要它们,而是因为智能体不知道它们的存在。
这就是为什么我们要开源 Elastic Agent Skills,即 Elasticsearch、Kibana、Elastic Observability 和 Elastic Security 方面的原生平台专业知识。您可以把它们添加到您已经使用的智能体运行时,把您的智能体从那种只会猜大量语法的“通才”提升成为一个具有专业知识的智能体,比如能像 Elastic 自己的工程团队一样使用许多架构标准。最初的技术预览版本侧重于与 Elastic Cloud Serverless 具有最大兼容性的技能,但后续版本将迅速发展,以包含对旧堆栈版本的更好支持。
此外,Elastic 正在从两头解决这个问题。对于 Elastic 平台上的智能体,Elastic Agent Builder(现已正式发布)允许您创建和交互那些继承了您的数据访问控制的 AI 智能体,使用内置的搜索和分析工具,并结合上下文协同仪表板、警报和调查开展工作。我们正在努力确保在 Elastic 平台上提供卓越的智能体体验。但并非每个智能体都与 Elastic 兼容。您的团队可能已经在使用 Cursor、Claude Code 或其他运行时,这些智能体也需要正确理解 Elastic。这时 Agent Skills 就派上用场了。
智能体在专业平台上为何面临重重困难
大语言模型 (LLM) 是非常强大的通才。由于其训练数据包含丰富的示例,它们可以编写 Python 代码、解释 Kubernetes 清单,并重构 React 组件。但是,当涉及到平台特定的工作时,例如涉及专有查询语言、深度 API 接口和特定领域的最佳实践,它们的不足之处是可以预见的。
对于 Elasticsearch 来说,差距具体体现出来:
- Elasticsearch 查询语言 (ES|QL) 是一个新领域。LLM 主要使用 SQL 进行训练,但 ES|QL 是一种管道化查询语言,具有不同的语法、不同的函数和不同的语义。智能体经常编写看似合理但无法解析的查询。它们会混淆
WHERE和| WHERE,编造不存在的函数,并完全忽略了基于管道的组合模型。 - API 接口表面范围广且具有专业深度。Elasticsearch、Kibana 和 Elastic Security 在搜索、摄取、告警、检测规则、案例管理、仪表板等多个领域有数百个 API。一个只配备一般训练数据的智能体必须猜测要调用哪个终端、请求正文是什么样子,以及如何处理响应。它经常会猜错,削弱了人们对它的信任。
- 最佳实践不在训练数据中。何时应该使用
semantic_text而不是自定义嵌入管道?如何构建 10GB CSV 的摄取管道?MITRE ATT&CK 技术的正确检测规则语法是什么?通用智能体在默认情况下不会加载经过整理、结构可靠的 Elastic 特定知识。它们需要查找这些知识,即使找到了,原始文档也并不总是包含熟练从业人员所具备的判断和最佳实践。
结果就是,开发人员花在修复智能体输出上的时间比他们自己编写代码所需的时间还多。这不是任何人愿意接受的体验。
代理技能:Platform 知识,专为代理人员量身定制
npx skills add elastic/agent-skills
Agent Skills 是包含指令、脚本和参考资料的独立目录,智能体运行时可以动态加载这些目录。当技能处于活动状态时,智能体可在正确的时间获得正确的上下文:查询语法、API 模式、验证逻辑、实例,因此它可以在第一次尝试时正确完成任务。
每个技能都遵循开放的 agentskills.io 规范:一个文件夹中包含一个 SKILL.md 文件,其中包含元数据和结构化说明。无专有格式,无锁定。技能可在智能体运行时中使用,包括 Cursor、Claude Code、GitHub Copilot、Windsurf、Gemini CLI、Cline 和 Codex 等。
v0.1.0 初始版本包含什么内容
Elastic Stack 的第一组技能跨越五个领域:
- 与 Elasticsearch API 交互(搜索、索引、集群管理)
- 构建和管理 Kibana 内容,例如仪表板、警报、连接器等
- Elastic Observability 的领域专业知识
- Elastic Security 的领域专业知识
- 在 Agent Builder 中创建高效的智能体
技能可组合
技能不是单一的。它们采用的是模块化设计。您的智能体仅加载与当前任务相关的技能。正在编写 ES|QL 查询?ES|QL 技能将激活。需要从这些结果构建仪表板?仪表板技能将激活。要评估应用程序的健康状况?服务健康技能将发挥作用。要调查安全警报?随着调查的深入,分流技能将逐步衔接到案件管理和响应技能。
这种可组合性意味着您不需要一个庞大的、试图涵盖一切的单一提示。每种技能都完全符合其领域所需的语境,不多也不少。
适用于构建搜索和 AI 应用程序的开发人员
如果您正在将数据加载到 Elasticsearch、编写查询或迁移索引,技能可以缩短生成代码、遇到错误和搜索文档以查明问题所在的周期。
让您的智能体加载一个 CSV 文件,它会使用流式摄取工具来处理背压并从数据中推断映射。它不是那种手动编写的 _bulk 循环,不会在处理第一个大文件时就耗尽内存。让它使用 ES|QL 进行查询,它会发现您的实际索引名称和字段模式,然后编写具有正确语法、适当聚合和版本感知功能选择的有效管道查询,而不是需要三轮调试的 SQL 风格猜测。让它跨集群重新索引,它会遵循完整的操作工作流:用显式映射创建目的地,调整吞吐量设置,异步运行作业,完成后恢复生产设置,而不是简单地调用 _reindex,跳过有经验的操作员会遵循的一半步骤。
您得到的不是一个给您一个似是而非的起点,让您不得不去解决的智能体,而是一个编码了操作规范,让输出真正有效的智能体。
使用 Elastic Agent Skills 的影响示例
| Eval | 技能引发了哪些改变 |
|---|---|
| es-audit-query-failed-logins | 使用技能中的审计日志查询模式,而不是通用搜索 |
| es-authz-role-mapping-ldap | 输出正确的角色映射 API 调用结构 |
| esql-basic-query | 编写了 ES|QL 管道语法以替代查询 DSL |
| esql-error-handling | 先确定模式,而不是猜测字段名称 |
| esql-schema-discovery | 从未猜测过索引名称 |
| es-ingest-csv-with-infer | 单独使用 --infer-mappings,避免与 --source-format csv 组合使用,因为后者会导致索引为空 |
| es-ingest-json-file | 采用了稳健的摄取方法,能够处理大文件 |
| es-reindex-local-async | 首先创建目标索引,副本数为 0,刷新间隔为 “-1”,然后异步重建索引。基线跳过了任何准备工作 |
| es-security-403-privileges | 按照技能诊断工作流程,而不是通用建议,处理特权错误 |
面向安全团队
安全团队每天都重复相同的操作工作流:对警报进行分流、调整检测规则、管理案例。Agent Skills 可对程序知识进行编码,让您的 AI 智能体能够正确执行这些工作流,以正确的顺序调用正确的 API,并使用正确的字段名称。如需通过实践操作指南,在不离开 IDE 的情况下从零开始构建一个完整的 Elastic Security 环境,请参阅 从您的 AI 智能体开始使用 Elastic Security。
面向可观测与运维团队
针对 Elastic Observability 的全新 Agent Skills 可以减轻对复杂系统进行检测、管理 SLO、筛选复杂数据以及评估服务健康状况的操作难度。将 Elastic 原生专业知识直接嵌入 AI 智能体中,可以让团队通过简单的自然语言执行复杂的可观测工作流。这使 SRE 和运营团队能够更快地解决事件,并更轻松地维护可靠的系统。阅读这篇博文了解详情。
开源、开放规范、社区驱动
我们根据 Apache 2.0 许可协议发布 Agent Skills,因为我们认为智能体知识应该是开放的。技能所遵循的 agentskills.io 规范是一项开放标准,不是 Elastic 的专有格式。我们希望这些技能成为社区共同努力的成果,而不是封闭的生态系统。
大局的一部分
Agent Skills 是旨在使 Elasticsearch 成为最适合智能体使用的数据平台的更广泛计划的一部分。对于在 Elasticsearch 平台上运行的智能体,Agent Builder 还能更进一步,继承数据的访问控制和权限,提供用于搜索和分析的内置和自定义工具,并让用户在仪表板、警报和调查的上下文中与智能体进行交互。最后,Agent Builder 即将推出对技能的支持,允许开发者灵活地利用 Elastic Agent Skills 以及来自任何其他来源的技能,在 Elasticsearch 平台上实现安全、上下文增强的聊天和自动化。
对于部署在其他地方的智能体,我们正投入努力,建设开放的生态系统:
- 模型上下文协议 (MCP) 服务器扩展:扩展 Agent Builder 中的 MCP 终端,在当前搜索、ES|QL 和索引操作之外提供更多工具。
- 身份验证改进:使代理能够更轻松地安全连接,目标是消除手动复制粘贴 API 密钥的操作。
- LLM 可读文档:发布
llms.txt和AGENTS.md文件,让智能体能够自行发现和理解 Elastic API。 - 用于智能体工作流的命令行接口 (CLI):命令行工具,使连接管理和常见操作更适合智能体使用。
技能是您今天能使用的层面。其余的功能即将到来。
开始使用
开始之前:AI 编码智能体使用真实凭证、真实 shell 访问权限进行操作,通常还拥有运行它们的用户的全部权限。当这些智能体用于安全工作流时,风险会更高:您相当于是将检测逻辑、响应操作和敏感遥测数据的访问权限交给了一个自动化系统。每个组织的风险状况都是不同的。在启用 AI 驱动的安全工作流之前,请评估智能体可以访问哪些数据、可以采取哪些操作以及如果出现意外行为会如何。
将 Elastic Agent Skills 安装到您的智能体运行时:
npx skills add elastic/agent-skills
这会自动检测您已安装的智能体运行时,并将技能放置在正确的配置目录中。之后,您的智能体会自动获取这些技能。
您还可以直接浏览技能目录,然后将技能文件夹复制到智能体的配置目录中,从而手动安装各个技能。
还没有 Elasticsearch 集群吗?开始免费试用 Elastic Cloud。您只需一分钟就能获得一个完全配置的环境。
探索项目:
相关内容
使用 Elasticsearch 推理 API 以及 Hugging Face 模型
了解如何使用推理终端将 Elasticsearch 连接到 Hugging Face 模型,并利用语义搜索和聊天补全功能构建多语言博客推荐系统。
使用 TypeScript 构建 Elasticsearch MCP 服务器
学习如何使用 TypeScript 和 Claude Desktop 创建 Elasticsearch MCP 服务器。
适用 Elasticsearch 的 Gemini CLI 扩展及工具和技能
Elastic 推出了适用于谷歌 Gemini CLI 的扩展,用于在开发人员和智能体工作流中搜索、检索和分析 Elasticsearch 数据。
2026年2月27日
通用表达式语言(CEL):CEL 输入如何改进 Elastic Agent 集成中的数据收集
了解通用表达式语言 (CEL) 与其他编程语言的区别、我们针对 Filebeat 的 CEL 输入所进行的扩展,及其如何赋能在 Elastic Agent 集成中更灵活地表达数据采集逻辑。