Agent Skills sind der neue Distributionsweg für Entwickler:innen-Wissen: Markdown-Ordner, die KI-Coding-Agents wie Claude Code, Cursor oder Gemini CLI on-demand mit Fachkontext versorgen. Das Format ist eine offene Spezifikation, die von rund 30 Agents unterstützt wird – und das Ökosystem wächst schneller, als irgendjemand prüfen kann, was da eigentlich installiert wird.
Genau darin liegt die Chance für TYPO3. Kein horizontaler Marktplatz testet Skills gegen ein echtes TYPO3-Projekt. Kein Scraper kennt den Unterschied zwischen v13- und v14-APIs. Und kein offizielles TYPO3-Verzeichnis existiert bisher. Wir betreiben mit 137 kuratierten Skills bereits einen der größten qualitätsgesicherten Skill-Kataloge mit TYPO3-Schwerpunkt – und legen in diesem Beitrag unsere komplette Blaupause offen: Architektur, Governance, Recht und Launch-Plan für ein kuratiertes Agent-Skills-Verzeichnis für das TYPO3-Ökosystem. Als Strategie – und als Einladung an die Community.
Inhaltsverzeichnis
Die Ausgangslage
Das Wertversprechen
Architektur
Governance
Recht
Roadmap & Nachhaltigkeit
Die Ausgangslage: Volumen ohne Vertrauen
Die Skill-Landschaft hat sich binnen weniger Monate von einem einzelnen Referenz-Repository zu einem Dutzend Verzeichnissen entwickelt. Anthropic pflegt einen kuratierten Beispielkatalog , Vercels skills.sh setzt auf Install-Telemetrie und Leaderboards , SkillsMP indexiert Skills per GitHub-Scraper – und stellt ausdrücklich klar, keine Sicherheit zu zertifizieren . Das Muster ist eindeutig: Scraper konkurrieren über Volumen, niemand konkurriert über geprüfte Qualität in einer CMS-Vertikale.
- Kuratierte Skills im webconsulting-Startkatalog – davon 31 TYPO3-spezifisch
- 137
- KI-Agents unterstützen die offene Agent-Skills-Spezifikation (SKILL.md)
- ~30
- der von Snyk untersuchten, öffentlich gelisteten Skills wiesen kritische Sicherheitsprobleme auf
- 13 %
- Offizielle TYPO3-Initiativen für Agent Skills – die Vertikale ist unbesetzt
- 0
Die Sicherheitslage ist dabei kein Nebenschauplatz, sondern das zentrale Argument: Snyks ToxicSkills-Analyse fand in öffentlichen Skill-Verzeichnissen alles von Prompt Injection bis zu Infostealern . Skills sind eine schärfere Angriffsfläche als klassische Pakete – schon die Prosa einer SKILL.md kann einen Agent manipulieren, ganz ohne ausführbaren Code.
Und die CMS-Konkurrenz schläft nicht: Auf Drupal.org existiert bereits ein CI-validiertes Agentic-Skills-Projekt der Drupal-AI-Initiative . Im TYPO3-Umfeld existiert mit dem kuratierten Claude-Code-Marketplace von Netresearch ein starker Baustein – aber kein gemeinsames, ökosystemweites Verzeichnis. Wer diese Lücke zuerst glaubwürdig füllt, definiert die Kategorie.
Das Wertversprechen: Vertrauen schlägt Volumen
Horizontale Verzeichnisse indexieren. Sie können nicht testen. Ein vertikales TYPO3-Verzeichnis kann genau das versprechen, was strukturell kein Scraper leisten kann:
| Feature | Horizontale Verzeichnisse | Kuratiertes TYPO3-Verzeichnis |
|---|---|---|
| Skill-Anzahl | Zigtausende (Scraper) | Kuratiert, dreistellig |
| Security-Review (Prosa und Skripte) | ✕ | ✓ |
| Test gegen reales TYPO3 v14.3 LTS | ✕ | ✓ |
| LTS-Kompatibilitätsmatrix (v12/v13/v14) | ✕ | ✓ |
| Provenienz & Attribution | Uneinheitlich | Pflichtfeld je Skill |
| Yank-Mechanismus bei Sicherheitsvorfällen | ✕ | ✓ |
Entscheidend ist, dass Vertrauens-Badges präzise sagen, was sie belegen – und was nicht. Die Lektion liefern die Supply-Chain-Angriffe der jüngeren Vergangenheit: Beim Nx-Vorfall wurden Entwickler-Pakete mit Millionen wöchentlicher Downloads über kompromittierte Publishing-Zugänge trojanisiert . Ein Badge, das nur Identität verifiziert, erzeugt fehlplatziertes Vertrauen in Inhalte. Deshalb setzen wir auf gestufte, datierte Prozess-Aussagen:
| Badge-Stufe | Was es belegt | Geprüft durch |
|---|---|---|
| Indexiert | Skill ist gelistet, Metadaten vorhanden | Automatisch |
| Validiert | Schema, Links, Lizenzfeld und Namenskonventionen geprüft | CI-Pipeline |
| Getestet auf v14.3 (datiert) | Eval-Suite gegen ein reales TYPO3-Projekt in DDEV bestanden | CI + Review |
| Prozess-geprüft (datiert) | Security-Checkliste durchlaufen, Skripte Zeile für Zeile geprüft | Mensch, namentlich dokumentierter Prozess |
Die Badges behaupten bewusst keinen Zustand („sicher“, „fehlerfrei“), sondern dokumentieren einen datierten Prüfprozess. Das ist ehrlicher gegenüber Nutzer:innen – und rechtlich der einzig belastbare Weg, wie der Abschnitt zu Haftungsfragen zeigt.
Architektur: Git-first statt Plattform-Monolith
Die wichtigste Architektur-Lektion stammt aus dem eigenen Ökosystem: TER hat als Trust- und Discovery-Schicht überlebt, während die Distribution längst zu Composer/Packagist gewandert ist – TERs eigenes Composer-Repository ist deprecated . Discovery und Distribution sind entkoppelbar. Genau so bauen wir: das Vertrauen besitzen, die Auslieferung delegieren.
Git-first-Architektur: ein Monorepo als Source of Truth, CI-generierter statischer Index, fünf Distributionswege
Das Monorepo ist die Source of Truth, ein CI-Job generiert daraus einen statischen Index (JSON, Atom-Feed, Prüfsummen, Provenienz-Attestierungen). Keine Datenbank, bevor Self-Service-Publishing sie erzwingt – der statische Index ist zugleich die öffentliche Read-API. Registry-spezifische Metadaten bleiben spezifikationskonform in Frontmatter-Feldern mit eigenem Namespace :
name: typo3-solr
description: Konfiguriert und debuggt Apache Solr für TYPO3 (EXT:solr).
license: CC-BY-SA-4.0
metadata:
version: "1.3.0"
typo3/core: "13,14"
registry/maturity: stable
registry/tested: "14.3@2026-07"
registry/agents: "claude-code,cursor,codex,gemini-cli,windsurf"Bei der Distribution gilt: alle Wege bedienen, die Entwickler:innen ohnehin nutzen. Ein marketplace.json macht das Repository per /plugin marketplace add direkt in Claude Code installierbar , npx skills add deckt – auch per Konvertierung für Agents ohne native Spezifikations-Unterstützung – rund 70 Agents ab , ein MCP-Server mit verifiziertem Namespace exponiert Suche und Installation für Agents – und ein Composer-Plugin holt TYPO3-Teams dort ab, wo ihre Projekte leben. Updates laufen nie still: Skills sind Prompt-Injection-Angriffsfläche, jede Aktualisierung zeigt vor dem Anwenden ihr Changelog.
Governance: Wer prüft, wer pflegt, wer zieht zurück?
Ein Verzeichnis ist nur so vertrauenswürdig wie sein Review-Prozess – und so fair wie seine Regeln. Die Submission läuft PR-basiert in vier Stufen:
- Bot-Triage: Vollständigkeit, DCO-Sign-off, eine Skill-Einreichung pro Pull Request.
- CI-Gates: Schema-Validierung, Link- und Lizenzprüfung, Secret-Scanning – plus ein Prompt-Injection-Linter, der Exfiltrations-Anweisungen, versteckte HTML-Kommentare und destruktive Defaults erkennt.
- Funktionaler Review: Eine Maintainerin oder ein Maintainer führt den Skill gegen ein reales TYPO3-v14.3-Projekt in DDEV aus und bewertet nach veröffentlichter Rubrik.
- Editorial & Publish: Namens- und Überlappungsprüfung, Provenienz-Eintrag, Veröffentlichung mit dokumentiertem Review.
Namespaces werden verdient, nicht besetzt: typo3-seo erhält die erste akzeptierte Einreichung, keine bloße Reservierung. Verifizierte Vendor-Namespaces wie netresearch/* geben Agenturen eine eigene Bühne – Verified-Publisher-Profile sind kostenloses Marketing für Beitragende und Content für das Verzeichnis. Verwaiste Skills durchlaufen ein Adoptionsverfahren nach TER-Vorbild, statt kommentarlos zu verrotten.
Für den Ernstfall übernehmen wir das Playbook des TYPO3 Security Teams : Intake über eine Security-Adresse, koordinierte Advisories mit laufender Nummer – und ein signierter Yank-Feed, den die Installer bei jedem Sync prüfen. Ein zurückgezogener Skill verschwindet nicht nur aus dem Index, sondern warnt aktiv alle, die ihn installiert haben. Das leistet derzeit kein horizontales Verzeichnis. Beim Skalieren folgt die Governance dem Drupal-Modell: Maintainer:innen einmal gründlich prüfen, Projekte danach günstig per Badge abdecken .
Recht: Marke, Lizenzen, Haftung
„TYPO3“ ist eine registrierte Marke der TYPO3 Association. Die Trademark Usage Policy untersagt die Wortmarke in Produkt-, Firmen- und Domainnamen – auch für zahlende Mitglieder . Beschreibende Nutzung („Agent Skills für TYPO3“) ist zulässig; eine Domain wie „typo3skills.com“ ist es ohne schriftliche Genehmigung nicht. Der offizielle Antragsweg über die Association existiert und wird parallel beschritten .
Drei weitere Rechtsfelder entscheiden über die Belastbarkeit des Projekts:
Lizenzen. Jeder Skill deklariert seine Lizenz als SPDX-Feld im Frontmatter; das Verzeichnis hostet nur, was Redistribution erlaubt – alles andere wird als Metadaten-Eintrag verlinkt statt gespiegelt. Attribution ist Pflichtfeld, nicht Fußnote: Upstream-Credits wie die Netresearch-Vorarbeit bleiben maschinenlesbar erhalten.
Plattformpflichten. Sobald das Verzeichnis fremde Einreichungen hostet, greifen die Hosting-Grundpflichten des Digital Services Act: ein Notice-and-Action-Mechanismus, Begründungen bei Entfernungen, benannte Kontaktstellen . Für ein Kleinstunternehmen bleibt das schlank umsetzbar – ein „Skill melden“-Formular mit dokumentiertem Takedown-Prozess deckt den Kern ab.
Produkthaftung. Die neue EU-Produkthaftungsrichtlinie stuft Software als Produkt ein; die Umsetzungsfrist endet am 9. Dezember 2026 . Die Open-Source-Ausnahme gilt nur außerhalb kommerzieller Tätigkeit – für ein agenturbetriebenes Verzeichnis ist sie fragil. Konsequenz: Badges formulieren Prüfprozesse statt Ergebnisgarantien, Disclaimer erscheinen in jedem Installationskanal (Frontmatter, Installer-Ausgabe, MCP-Beschreibung), und der Termin in der Anwaltskanzlei steht vor dem Launch, nicht danach.
Roadmap: von der Beta zur Version 1.0
Die Termine setzt der TYPO3-Kalender, nicht der Wunschzettel: Die TYPO3 Developer Days finden vom 6. bis 8. August 2026 in Karlsruhe statt – vier Wochen Vorlauf für den Soft-Launch.
Private Beta
Soft-Launch auf den T3DD26
Hardening
Version 1.0 zur T3CON
Skalierung & v15-Zyklus
Der unbequemste Punkt steht bewusst im Plan: Das Vertrauensversprechen verfällt planmäßig. TYPO3 liefert im LTS-Takt , und mit jedem Major-Release altern getestete Skills . Die Antwort ist eine veröffentlichte Decay-Policy: „Getestet auf v14.3“ bleibt als datierte, versionierte Tatsache stehen; ein berechneter Freshness-Status (aktuell / ungetestet auf neuem LTS / überholt) macht Alterung sichtbar, statt sie zu verschweigen. Ein Core-Certified-Kreis von rund 40 Skills erhält garantierte Re-Zertifizierung binnen 30 Tagen nach LTS-Release – der Rest altert transparent unter Community-Pflege.
Nachhaltigkeit: Moat statt Marketplace
Die ehrliche Rechnung zuerst: TYPO3 ist ein Nischen-Ökosystem mit wenigen hundert relevanten Agenturen, stark DACH-zentriert. Ein bezahlter Skill-Marketplace trägt sich auf dieser Basis nicht – und muss es auch nicht. Das Verzeichnis ist ein strategischer Moat, kein Produktgeschäft: Der öffentliche Katalog bleibt dauerhaft kostenlos, monetarisiert wird drumherum – über Team-Workshops zu KI-gestützter TYPO3-Entwicklung, Sponsoring ab relevanter Reichweite und später gehostete private Registries für Agenturen mit proprietären Skills.
Auch die Eigentumsfrage ist entschieden – mit Präzedenzfällen: Packagist.org wird bis heute von einer privaten GmbH betrieben und bleibt trotzdem die neutrale Registry des PHP-Ökosystems . HACS wurde Partner der Open Home Foundation, ohne das Eigentum zu übertragen . Genau dieses Modell streben wir an: privat betrieben mit veröffentlichter, neutraler Listing-Policy, plus Endorsed-Operator-Status in Partnerschaft mit der TYPO3 Association . Das Community Budget der Association kommt dabei nur für separierbare offene Infrastruktur infrage – die Förderrichtlinien schließen Ideen mit direktem Erwerbszweck ausdrücklich aus ; diese Grenze respektieren wir von Tag eins.
Häufige Fragen
Fazit
Das Zeitfenster ist offen, aber nicht lange: Die Agent-Skills-Spezifikation ist etabliert , die horizontalen Verzeichnisse haben das Sicherheitsproblem sichtbar gemacht , Drupal zeigt das offizielle Modell – und die TYPO3-Vertikale ist unbesetzt. Wer jetzt Kuratierung, Testbarkeit und ehrliche Governance kombiniert, definiert den Standard, an dem sich alles Spätere messen muss.
Wir bringen 137 Skills, die Prüf-Tooling-Basis und diese Blaupause mit. Was dem Verzeichnis noch fehlt, ist das, was TER groß gemacht hat: die Community.
Wir suchen fünf bis zehn Agenturen für die private Beta ab Juli 2026: Skills einreichen, Review-Rubrik mitprägen, einen gemessenen Zeitersparnis-Datenpunkt beisteuern. Interessiert? Auf den T3DD26 in Karlsruhe sind wir vor Ort – oder jederzeit erreichbar über unser Kontaktformular.