Inhaltsverzeichnis

01 · Warum das Hermes-Skills-System eine eigene Deep-Dive verdient

Anfang 2026 veröffentlichte Nous Research Hermes Agent mit dem Leitsatz „the agent that grows with you“. Innerhalb von zwei Monaten überschritt das Projekt 160.000 GitHub-Stars — eines der am schnellsten wachsenden Open-Source-Agent-Stacks. Der eigentliche Mehrwert liegt nicht in einem größeren Basismodell, sondern in einem standardisierten, versionierbaren Layer aus prozeduralem Wissen: Skills.

Im Gegensatz zu einmaligen System-Prompts, die mit der Session verschwinden, sind Hermes Skills dokumentierte Verfahren, die der Agent bei Bedarf lädt, über Sessions hinweg wiederverwendet und — mit GEPA — aus echten Ausführungsdaten verbessert. Die Installation behandeln wir nicht erneut; dafür gibt es unsere Hermes-Installationsanleitung. Hier geht es um Token-Ökonomie, YAML-Bundles, metadatengetriebene Sichtbarkeit, Tap-Distribution und die Genetic-Pareto-Pipeline, die SKILL.md als veränderbaren Text statt als eingefrorene Lore behandelt.

02 · Drei Schmerzpunkte: Hermes installieren ≠ Skills beherrschen

Token-Kosten explodieren. Teams packen komplette SOPs in den System-Prompt und zahlen pro Session Tausende Tokens. Ohne Progressive Disclosure kann allein der Volltext von 50 Skills das Kontextfenster sprengen, bevor der Nutzer die erste Frage stellt.
Unpräzise Skill-Aktivierung. Vage description-Felder führen dazu, dass das LLM den falschen Skill lädt — oder den richtigen übersieht. Ohne bedingte Aktivierung bedeutet der Wechsel zwischen kostenlosem DuckDuckGo und bezahltem Brave/Firecrawl manuelles Config-Editing statt automatischer Metadaten-Steuerung.
Wissen compoundiert nicht. Persönliche Prompts leben im Chat-Verlauf, nicht in Git. Es gibt keinen Tap für Team-Abonnements, keine Validierungshooks und keinen GEPA-Loop, der Fehlschläge in verbesserte Verfahren übersetzt. Skills stagnieren, während die API-Rechnung steigt — und bei DSGVO-relevanten Daten in Prompts wächst zugleich das Compliance-Risiko.

Jeder Schmerzpunkt mappt auf einen Abschnitt unten. Alle drei zu lösen, trennt eine Demo-Gateway-Installation von einem Agenten, dem Ihr Team am Freitag beim Deploy vertraut.

03 · Kernkonzepte: Skills ≠ Prompts, Skills ≠ Memory

Hermes stellt drei überlappende, aber getrennte Kontextkanäle bereit. Sie zu vermischen ist der häufigste Architekturfehler in Erstinstallationen.

Dimension	Prompt	Memory	Skills
Persistenz	Nur aktueller Chat	Sessionsübergreifend, dauerhaft	Sessionsübergreifend, dauerhaft
Ladezeitpunkt	Immer im Kontext	Jede Session injiziert	On Demand
Token-Kosten	Jeder Turn	Kleiner, stabiler Footprint	Null bis Aktivierung
Inhaltstyp	Beliebiger Intent-Text	Nutzerpräferenzen / Fakten	Prozedurale Schritte
Teilbarkeit	Umständlich	Standardmäßig privat	Als Community-Tap publizierbar

Merksatz: Prompt = Haftnotiz (gültig für dieses Gespräch). Memory = Notizblock auf dem Schreibtisch (immer griffbereit). Skill = SOP-Handbuch (vom Regal, wenn die Aufgabe passt). Parallelen zu Cursor Rules vs. Skills vs. MCP finden Sie in unserer Agent-Skill-Komplettanleitung.

04 · SKILL.md Format im Detail (agentskills.io Open Standard)

Jeder Hermes Skill folgt der agentskills.io-Spezifikation — derselbe Ordner funktioniert in Hermes, Claude Code und Cursor ohne Rewrite. Das ist strategisch: einmal schreiben, auf gemietetem Mac validieren, im nächsten Quartal auf den Agent deployen, den Ihr Team standardisiert.

---
name: my-skill
description: |
  Use when the user needs to [...].
  Handles [...] and [...].
version: 1.0.0
license: MIT
compatibility: Requires git, docker
allowed-tools: Bash(git:*) Read
metadata:
  hermes:
    tags: [devops, automation]
    category: software-development
    related_skills: [github-pr-workflow, test-driven-development]
    requires_toolsets: [terminal]
    fallback_for_toolsets: [web]
---

# My Skill Title

## Overview
## When to Use
## Procedure
## Common Pitfalls
## Verification Checklist

Kritische Felder: name ist Pflicht — Kleinbuchstaben und Bindestriche, max. 64 Zeichen. description ist Pflicht — max. 1.024 Zeichen — und sollte mit „Use when…“ beginnen, weil Level-0-Routing nur name + description sieht. Hermes-spezifisches Routing gehört in metadata.hermes: Tags, Kategorien, Toolset-Anforderungen und Fallback-Regeln (Abschnitt 07).

Modulares Verzeichnislayout

Die Hauptdatei schlank halten; Referenzmaterial in Unterordner, die der Agent nur bei Ausführung lädt.

~/.hermes/skills/
└── my-category/
    └── my-skill/
        ├── SKILL.md              # Hauptdatei (Ziel ≤500 Zeilen)
        ├── references/           # API-Docs — on demand
        ├── templates/            # Wiederverwendbare Vorlagen
        └── scripts/              # Ausführbare Helfer

Die 500-Zeilen-Richtlinie ist nicht kosmetisch. GEPAs Sicherheitsrails lehnen Skills über 15 KB ab; aufgeblähte Hauptdateien untergraben Progressive Disclosure — Sie zahlen Level-1-Tokens für Inhalt, der auf Level 2 gehört.

05 · Progressive Disclosure: drei Ladeebenen

Progressive Disclosure ist Hermes' Antwort auf „50 Skills haben meinen Kontext gefressen“. Das Gateway wirft nie alle SKILL.md-Bodies beim Session-Start in den Prompt.

Ebene	Geladener Inhalt	Trigger	Token-Kosten
Level 0	name + description	Jeder Session-Start	~3K gesamt über alle Skills
Level 1	Vollständiger SKILL.md-Body	`/skill-name` oder LLM-Routing	Abhängig von Dateilänge
Level 2	`references/`, `scripts/`	LLM entscheidet bei Ausführung	Pro Datei, on demand

Authoring-Implikation: unverhältnismäßig viel Arbeit in die description — wann nutzen, wann nicht, Produktnamen, Fehlerstrings aus Slack. API-Tabellen und lange Beispiele nach references/. Teams mit 30+ Skills berichten, dass disziplinierte Level-0-Beschreibungen Fehlaktivierungen halbieren gegenüber generischen „helps with code“-Zusammenfassungen.

06 · Skill Bundles: ein Befehl, ganzer Workflow

Skill Bundles sind 2026 ein First-Class-Workflow-Primitive. Ein Bundle ist eine leichte YAML-Datei, die mehrere Skills gleichzeitig lädt, wenn der Nutzer /bundle-name tippt — eine kuratierte Playlist für Agent-Kontext, kein neuer Prompt-Layer.

Dateipfad: ~/.hermes/skill-bundles/<slug>.yaml

name: backend-dev
description: |
  Full backend feature workflow — code review, TDD, and PR management.
skills:
  - github-code-review
  - test-driven-development
  - github-pr-workflow
instruction: |
  Always write failing tests first before implementation.
  Never push directly to main.

Prioritätsregeln:

Teilen Bundle und einzelner Skill denselben Namen, gewinnt das Bundle.
Nicht installierte Skills werden still übersprungen — kein Error-Spam.
Bundles schreiben den System-Prompt nicht um — Prompt-Cache-Effizienz bleibt erhalten.

hermes bundles create backend-dev \
  --skills github-code-review,test-driven-development,github-pr-workflow \
  --instruction "Always write failing tests first"

Bekannte Bundle-Rezepte: AI-Researcher-Stack (arxiv + deep-research + plan + excalidraw) und MLOps-Deploy-Pipeline (vllm + llama-cpp + github-pr-workflow + systematic-debugging). Der instruction-Block codiert Team-Non-Negotiables — Branch-Protection, Test-Reihenfolge, Security-Gates — ohne sie in jeden Einzelskill zu duplizieren.

07 · Bedingte Aktivierung: umgebungsbewusste Skills

Skills können sich automatisch verbergen oder zeigen, je nachdem welche Tools und Toolsets in der Session existieren. Konfiguration unter metadata.hermes, damit die Level-0-Liste die Realität widerspiegelt.

Feld	Verhalten
`requires_toolsets`	Skill verbergen, wenn Toolsets fehlen
`requires_tools`	Skill verbergen, wenn Tools fehlen
`fallback_for_toolsets`	Verbergen, wenn Toolsets vorhanden (Backup-Pfad)
`fallback_for_tools`	Verbergen, wenn Tools vorhanden (Backup-Pfad)

Kanonisches Beispiel: DuckDuckGo-Search-Skill mit fallback_for_tools: [web_search]. Ist FIRECRAWL_KEY oder BRAVE_SEARCH_KEY gesetzt, aktiviert sich bezahltes web_search und DuckDuckGo verschwindet — Token gespart, keine doppelte Suchstrategie. Läuft der API-Key ab, taucht der Fallback ohne Config-Edit wieder auf.

08 · Skills Hub und Open-Source-Ökosystem

hermes skills install official/research/arxiv
hermes skills install https://example.com/SKILL.md --name my-skill
hermes skills install github:openai/skills/k8s
hermes skills tap add github:my-org/my-skills

Repository	Highlight	Stars
ChuckSRQ/awesome-hermes-skills	Produktions-Bundles inkl. Deep Research, MLOps	67+
amanning3390/hermeshub	Community-Registry mit Prompt-Injection-Checks	166+
kevinnft/ai-agent-skills	191 Skills, cross Hermes / Claude / Cursor	10+
NousResearch/hermes-agent	Offizielle Quelle	160k+

Vor Vertrauen in Drittanbieter-Skills: skills-ref validate ./my-skill prüft agentskills.io-Compliance. Skill-Assets sind Plain-Files in Git — keine Plattformbindung. Viele Teams spiegeln Skills in interne Repos neben Anwendungscode; das erleichtert DSGVO-Audits, weil Verfahren versioniert und reviewbar sind.

09 · Eigenen Skill Tap veröffentlichen: Team- und Community-Distribution

Ein Tap ist ein GitHub-Repository als Abo-Feed für Skills. Einmal hinzufügen; jedes Teammitglied zieht Updates mit hermes skills tap update.

my-skills-tap/
├── skills.sh.json
├── mlops/vllm-deploy/SKILL.md
├── research/paper-summarizer/SKILL.md
└── README.md

hermes skills tap add github:your-org/your-skills-tap
hermes skills tap add github:your-org/private-skills --token $GH_TOKEN
hermes skills tap update
hermes skills tap list

Versionierung: ~/.hermes/skills/ in Git tracken (oder dediziertes Tap-Repo), Releases taggen, Breaking Changes im Tap-README dokumentieren. Cross-Device-Sync: git pull && hermes skills reset. Private Orgs nutzen Deploy-Tokens oder feingranulare PATs — niemals Tokens in Skill-Frontmatter committen; das wäre ein DSGVO- und Sicherheitsverstoß bei öffentlichen Repos.

10 · Selbstevolvierende Skills: GEPA + DSPy

GEPA (Genetic-Pareto Prompt Evolution) ist ein ICLR-2026-Oral-Ergebnis, integriert in hermes-agent-self-evolution. Statt Modellgewichte zu fine-tunen, analysiert GEPA Ausführungstraces, erzeugt SKILL.md-Varianten und führt Multi-Objective-Pareto-Selektion durch — Erfolgsrate, Token-Effizienz und Latenz gleichzeitig. Typische Kosten: 2–10 USD pro Evolutionslauf per API, ohne GPU-Cluster.

Trace-Sammlung — Sessions in SQLite via Hermes Session-DB.
Reflektive Fehleranalyse — welche Verfahrensschritte korrelieren mit Fehlern.
Gezielte Mutation — 10–20 SKILL.md-Varianten für schwache Abschnitte.
Pareto-Evaluation — Varianten auf Erfolg × Token-Effizienz × Geschwindigkeit.
Menschliches Review — Gewinner-Diff per PR nach automatischen Guardrails.

git clone https://github.com/NousResearch/hermes-agent-self-evolution
export HERMES_AGENT_PATH=~/.hermes
python -m evolution.skills.evolve_skill \
    --skill github-code-review \
    --iterations 10 \
    --eval-source sessiondb

Vier Sicherheitsguardrails: volle Test-Suite 100 % grün; Skills ≤15 KB, Tool-Beschreibungen ≤500 Zeichen; Prompt-Cache-Kompatibilität; semantische Erhaltungsprüfung. Roadmap Phase 1 (SKILL.md) ist produktionsreif; Phasen 2–5 erweitern Tool-Beschreibungen, System-Prompts, Tool-Implementierung und vollautomatische Loops.

--eval-source mixed --trace-dirs ~/.claude/traces,~/.hermes/sessions

Experimentell: Claude-Code- oder Gemini-CLI-Logs neben Hermes-Sessions — Cross-Runtime-Lernen für Teams, die in Cursor prototypen und auf Hermes-Gateway-Hardware deployen. Traces auf wegwerfbarem Miet-Mac sammeln, GEPA über Nacht laufen lassen, PR montags reviewen — ohne Produktions-SKILL.md anzufassen, bis Tests grün sind.

11 · Plugin-Skills: Hermes-Grenzen erweitern

Plugins namespacen Skills als plugin:skill. Sie erscheinen nicht in der Standard-skills_list; der Nutzer opt-in explizit — sinnvoll für experimentelle oder risikoreiche Capabilities.

skill_view("superpowers:writing-plans")

# plugin.yaml
name: my-hermes-plugin
skills:
  - name: writing-plans
    path: skills/writing-plans/SKILL.md

Plugins passen zu internen Tools, die nie im Casual-Chat auftauchen sollen — Admin-Runbooks, Produktions-DB-Skills oder Compliance-Workflows mit explizitem Slash-Aufruf und Audit-Log.

12 · Fortgeschrittene Authoring-Tipps (Engineer-Checkliste)

Description steuert Routing. Trigger und Ausschlussfälle benennen. „Helps with code“ aktiviert überall und nirgends sinnvoll.
Pitfalls trennen Gut von Großartig. Konkrete Fehlermodi — GitHub-API-Rate-Limits, übergroße Diffs — mit Root Cause und Fix-Schritten.
Skripte mit Fallbacks. scripts/ in Procedure referenzieren; bei Fehler auf references/manual-extract.md verweisen.
Größendisziplin. Unter 500 Zeilen: in SKILL.md. 500–1.000: references splitten. Über 15 KB: Pflicht-Split für GEPA.
Agent-Writes brauchen Approval. skill_manage(action='patch'|'create') mit agent_writes_require_approval: true in config.yaml — autonome Edits überschreiben nicht still reviewte Verfahren.

13 · Praxis: Technischer Blog-Workflow

name: blog-workflow
description: Full tech blog writing workflow.
skills:
  - seo-keyword-research
  - outline-generator
  - code-example-validator
  - bilingual-checker
  - publish-to-platform
instruction: |
  Always research SEO keywords before writing.
  Ensure all code examples are tested and runnable.

Ein custom seo-keyword-research-Skill kann vor dem Draft eine Keyword-Matrix ausgeben — drei bis fünf Head-Terms plus zehn bis fünfzehn Long-Tail-Phrasen, cross-checked gegen Dev.to-Trending und HN-Frontpage. code-example-validator führt gebündelte Skripte auf dem Miet-Mac-Sandbox aus, damit Shell-Snippets auf Apple Silicon wirklich laufen, bevor sie publiziert werden.

Der instruction-Block erzwingt Redaktionspolicy ohne Duplikation in fünf Skills: erst recherchieren, nur lauffähige Beispiele, kein Publish vor Validierung. Bundles als Governance-Layer statt Notion-Doc, das niemand liest.

14 · FAQ

F: Wie unterscheiden sich Skills von MCP?
Skills sind prozedurale Wissensdokumente — sie lehren den Agenten wie eine Aufgabe anzugehen ist. MCP (Model Context Protocol) ist eine Tool-Schnittstelle — sie gibt dem Agenten live Zugriff auf externe Systeme. Sie ergänzen sich: ein Skill kann sagen „rufe das Jira-MCP-Tool, dann wende die Eskalationsvorlage an“.

F: Skill geändert, Agent nutzt noch alte Version.
Änderungen gelten nicht mid-session. /reset oder Reinstall mit --now (invalidiert Prompt-Cache auf unterstützten Providern).

F: Ist GEPA-evolvierter Skill-Inhalt merge-sicher?
Automatische Guardrails fangen Größe, Tests und semantische Regressionen — menschliches PR-Review bleibt Pflicht. GEPA optimiert Metriken, nicht den Schlaf Ihres Compliance-Beauftragten.

F: Hermes-Skills in Claude Code wiederverwenden?
SKILL.md nach ~/.claude/skills/ kopieren oder kevinnft/ai-agent-skills für Multi-Runtime-Installs. Tool-Verfügbarkeit differiert pro Runtime.

F: Beeinträchtigt Deutsch die Token-Effizienz?
Deutsche Zeichen liegen bei ca. 1–1,5 Tokens pro Zeichen — vergleichbar mit Englisch pro Semantikeinheit. Für LLM-Routing-Präzision descriptions auf Englisch oder bilingual halten; Body-Inhalt darf der Zielgruppe folgen.

Weiterlesen: Hermes-Dokumentation, unsere Cursor Agent Skill Anleitung, 30-Tage-Hermes-Feldtest und Memory- und Hardware-Auswahl.

15 · 7-Schritt Mac-Miet-Isolation für Hermes Skills

Hermes Gateway läuft auf Linux-VPS und Windows, aber macOS-exklusive Skills — Xcode-Workflows, Keychain-Operationen, Apple-Codesigning, Homebrew-Rezepte für Apple Silicon — brauchen echtes macOS. Das pragmatische 2026-Muster: wegwerfbaren Miet-Mac hochfahren, Skills / Bundles / GEPA-Traces validieren, Knoten freigeben, bevor Monatsgebühren anfallen.

Apple-Silicon-Knoten mieten. Mac mini M4 oder besser mit Homebrew; SSH vom Laptop. Tagespreise: Bare-Metal-macOS-Preise. Keine Produktions-Apple-ID — DSGVO-Isolation.
Hermes installieren und doctor fahren. Installationsanleitung; hermes doctor bestätigt Gateway und Toolsets.
Offizielle Skills und Custom Taps installieren. hermes skills install und hermes skills tap add; Level-0- vs. Level-1-Token-Footprint messen.
Bundle schreiben und Workflow ausführen. YAML unter ~/.hermes/skill-bundles/; /bundle-name triggern; instruction-Block und alle Skills prüfen.
Session-Traces für GEPA sichern. SQLite-Logs exportieren; API-Keys nur auf Miet-Mac hinterlegen, nicht auf Firmen-Laptop mit E-Mail- und Kundendaten-Zugriff.
DSGVO-Hygiene. OAuth-Tokens und API-Keys widerrufen; ~/.hermes/ auf personenbezogene Daten prüfen; keine Kundendumps in Prompts oder Session-DB hinterlassen.
Traces archivieren und Instanz freigeben. Terminal-Output als Abnahmebeweis; Miet-Mac beenden, Tagesabrechnung stoppen. SSH/VNC-Details: Tagesmiete-FAQ.

Linux-VPS eignet sich für leichte API-only-Gateways, validiert aber keine macOS-exklusiven Skills oder lokale Keychain-Berechtigungen. 7×24 auf dem Privat-Laptop riskiert Thermalthrottling, verschmutzte Dotfiles und API-Keys auf derselben Maschine wie E-Mail — ein DSGVO-Risiko, wenn Kundendaten in Agent-Prompts landen. Tagesmiete liefert produktionstreues Apple Silicon für weniger als eine falsch konfigurierte Skill-Schleife über Nacht.

Die meisten Skills-Validierungssprints enden in ein bis drei Miettagen auf Mac mini M4 16 GB — genug für Tap-Installs, Bundle-Authoring und einen GEPA-Iterationsbatch ohne CapEx. Stabil genug für 7×24-Telegram-Duty? Monatsmiete per Matrix in unserem VPS-vs.-Mac-mini-Guide.

Teams, die Hermes Skills als Produktionsinfrastruktur behandeln — nicht als Wochenendexperiment — mieten isolierte Apple-Silicon-Knoten bei MacDate statt Daily-Driver-Laptops zu kontaminieren oder auf Linux-only-Sandboxes zu raten. Native Keychain- und Codesign-Verhalten, sauberer ~/.hermes/-Baum pro Sprint, SSH für skriptierte Validierung, Tagesabrechnung die endet, wenn QA endet. Tarife: Bare-Metal-macOS-Preise; die meisten Bundle- und GEPA-Tests sind vor der zweiten Mietwoche durch.