SkillOpt: de Microsoft-paper die agent skills trainbaar maakt — en je governance-gat groter dan je denkt
AI ResearchDrie weken geleden zat ik een Claude Code skill te debuggen die HEAD~1 verwarde met de huidige branch in een code-review workflow. De skill was 200 regels, handgeschreven, en bevatte een subtiele ambiguïteit die in 1 op de 7 runs tot een verkeerde diff leidde. Ik fixte de regel. Maar de echte vraag was niet "welke regel is fout?", het was "hoe weet ik dat mijn fix de skill écht beter maakt, en niet gewoon overfit op deze ene fout?"
Daar gaat SkillOpt over. Niet over prompt engineering. Over skill engineering als governed training loop.
Wat SkillOpt écht is
SkillOpt is geen nieuw model. Het is een optimizer die bovenop een frozen agent draait. De agent krijgt een skill document, een compact markdown-bestand met procedures, domeinregels, tool policies, output constraints. De optimizer kijkt naar hoe de agent presteert met die skill, analyseert successen en fouten, en stelt bounded edits voor: add, delete, replace. Een edit wordt alleen geaccepteerd als hij strikt beter scoort op een held-out validatieset.
De output is een bestand: best_skill.md. Meestal 300 tot 2.000 tokens. Compact genoeg om te diffen, te reviewen, te signen.
De paper zelf komt van Microsoft Research, 15 auteurs, ingediend op 22 mei 2026. De claims zijn ongewoon sterk: best or tied-best in alle 52 geëvalueerde combinaties van model, benchmark en harness. Op GPT-5.5 tilt het de gemiddelde accuracy met 23,5 punten in direct chat, 24,8 punten in Codex, en 19,1 punten in Claude Code, ten opzichte van helemaal geen skill.
De grootste winst zit waar je hem verwacht: procedurele taken. SpreadsheetBench sprong van 41,8 naar 80,7. OfficeQA van 33,1 naar 72,1. LiveMathematicianBench van 37,6 naar 66,9. Taken waar je niet "het antwoord weet" maar "een procedure moet volgen."
De analogie die de paper serieus neemt
Wat SkillOpt onderscheidt van de stortvloed aan "self-improving agent" papers is dat het de deep-learning analogie operationeel maakt:
| Deep learning | SkillOpt |
|---|---|
| Parameters | Skill document |
| Gradientrichting | Trajectory-derived edit direction |
| Learning rate | Textual edit budget |
| Validation check | Held-out selection gate |
| Momentum | Epoch-wise slow/meta update |
| Training batches | Rollout batches + reflection minibatches |
Dit is geen cosmetische analogie. Het is het controle-framework dat skill-optimalisatie reproduceerbaar maakt. Zonder learning rate kan een optimizer onbegrensd herschrijven, nuttige regels wissen, incompatibele instructies toevoegen, overfitten op lokale fouten. Zonder validation gate is er geen regressiecontrole. Zonder momentum verdwijnen lange-termijn lessen.
De meeste "self-improving" agents falen omdat ze plausible self-reflection verwarren met echte verbetering. SkillOpt accepteert een edit alleen als die een held-out score verbetert. Punt. Geen plausible redenering. Geen "dit klinkt logisch." Een score.
Dat is de engineering-discipline die ontbreekt in vrijwel alle huidige agentic skill-systemen.
De trust boundary die verschuift
Tot nu toe was het governance-model voor agent skills simpel: een mens schrijft de skill, een mens reviewt de skill, een agent voert uit. De skill is een statisch document, versioneerd in git, gereviewed in een PR.
SkillOpt verschuift die grens: een optimizer-model traint de skill uit trajectdata. De menselijke rol verschuift van "auteur" naar "validator." Je schrijft niet langer de skill, je valideert wat de optimizer voorstelt.
Dat klinkt efficiënter. En dat is het ook. Maar het creëert een nieuw governance-gat:
De optimizer is zelf een frontier model. Het kijkt naar tientallen trajecten, herkent patronen, en stelt edits voor. De validation gate keurt ze goed of af. De agent voert uit. Maar wie controleert of de optimizer de juiste patronen herkent? Wie valideert dat de scoring-functie meet wat relevant is, niet alleen accuracy maar ook compliance, veiligheid, bias?
De paper adresseert dit impliciet via technische controls: held-out gate, rejected-edit buffer, slow/meta update. Maar een expliciet threat model voor de optimizer zelf ontbreekt. Wat als de optimizer een skill voorstelt die security checks overslaat om sneller resultaten te halen? De validation gate keurt het goed, want de score is hoger. De skill wordt gedeployed. Niemand heeft gezien dát er een security check is verdwenen.
Het compromise scenario
Stel je traint een BIO2-compliance skill met SkillOpt op interne auditdata. De optimizer ziet dat skills die "controleer altijd de logging-configuratie" overslaan gemiddeld 12% sneller scoren, want de evaluator meet doorlooptijd en antwoordkwaliteit, niet of logging is gecontroleerd. De optimizer stelt voor die regel te verwijderen. De validation gate vergelijkt scores: met de regel 0.74, zonder 0.81. De edit wordt geaccepteerd. best_skill.md wordt geëxporteerd.
De skill is "beter" op de benchmark. En onveiliger in productie.
Dit is geen hypothetisch scenario. Het is het klassieke Goodhart's Law-probleem: wanneer een metriek een doel wordt, houdt hij op een goede metriek te zijn. SkillOpt's kracht, reproduceerbare optimalisatie op een held-out score, is tegelijk zijn zwakte: de score bepaalt alles.
Wat de paper niet oplost
SkillOpt is technisch uitstekend. 52/52 is een zeldzaam resultaat in AI-research. Maar er zijn vier fundamentele beperkingen die voor enterprise-relevantie cruciaal zijn:
Eén: de evaluator is de blinde vlek. De paper werkt met benchmarks die automatische verifiers hebben. Voor open-ended domeinen, juridische analyse, architectuurontwerp, beleidsadvies, is er geen betrouwbare automatische scorer. SkillOpt werkt alleen waar je exact kunt meten wat "beter" betekent.
Twee: één skill, geen skill-ecosysteem. De paper optimaliseert één compacte skill per domein. In enterprise-omgevingen heb je tientallen skills nodig: threat modeling, Terraform review, privacy impact analyse, incident response, OAuth-review. Hoe train je een ecosysteem zonder dat skills elkaar tegenspreken?
Drie: security is impliciet. De paper heeft controls, held-out gate, bounded edits, rejected-edit buffer, maar geen threat model. Prompt injection in rollouts? Poisoned validation sets? Optimizer compromise? Policy bypass via skill edits? Allemaal niet geadresseerd.
Vier: de paper optimaliseert voor accuracy, niet voor veiligheid. Geen enkele benchmark meet of de geoptimaliseerde skill security-relevante procedures behoudt. Een skill die veiliger output produceert maar 3% lager scoort op accuracy, wordt door de validation gate afgewezen.
De propositie: Governed Skill Training voor gereguleerde organisaties
Voor DjimIT is SkillOpt niet interessant als "weer een AI-paper." Het is interessant als patroon voor een dienst die nog niet bestaat: governed skill training.
De propositie is eenvoudig. SkillOpt levert de training loop. DjimIT levert de governance-laag eromheen:
Laag 1: Skill Registry. Alle skills versioned in git met eigenaar, scope, risicoklasse, modelcompatibiliteit en change history. Geen skill zonder provenance.
Laag 2: Rollout Sandbox. Taken worden uitgevoerd in geïsoleerde agent-omgevingen. Alleen de projectdirectory is gemount, niet ~/.ssh, niet ~/.aws, geen secrets van de host.
Laag 3: Multi-objective Scoring. Niet alleen accuracy. Ook security-invarianten: heeft de skill logging behouden? Zijn tool-allowlists intact? Worden verplichte verificatiestappen nog uitgevoerd? Policy-as-code checks die falen als een edit een security-regel verwijdert.
Laag 4: Human-in-the-loop Optimizer. De optimizer stelt edits voor via pull requests, met diff, rationale en score-bewijs. Voor high-risk skills is menselijke review verplicht. De optimizer mag nooit rechtstreeks naar productie pushen.
Laag 5: Compliance Evidence. Elke edit wordt gelogd met before/after diff, optimizer rationale, score impact, validator status en reviewer naam. Dit is je audit trail voor ISO 27001, BIO2 en AI Act.
Laag 6: Cross-harness Validation. Een skill getraind in Codex wordt ook getest in Claude Code en OpenCode voor deployment. De paper toont aan dat dit werkt, een SpreadsheetBench-skill getraind in Codex verbetert Claude Code met bijna 60 punten.
De echte implicatie: van prompt engineering naar agent operations engineering
SkillOpt is geen "betere prompt engineering." Het is het begin van agent operations engineering, een discipline waarin agent-procedures niet handgeschreven prompts zijn, maar trainbare, valideerbare, overdraagbare assets.
Dat klinkt als een semantisch verschil. Het is het niet.
Prompt engineering is: "ik schrijf een instructie, de agent voert uit, ik tweak de instructie als het niet werkt." Het is handwerk. Het schaalt niet. Het is niet reproduceerbaar.
Agent operations engineering is: "ik definieer een taakverdeling, een scorer, en een validatieset. De optimizer traint de skill. Ik valideer het resultaat. De skill wordt versioneerd, getest, en gedeployed als elk ander configuratie-artefact."
Dit is exact de verschuiving die de industrie nodig heeft, en die gereguleerde organisaties zullen eisen. Want je kunt geen BIO2-audit doen op "ik heb de prompt een beetje aangepast tot het goed voelde."
De actie: bouw een Skill CI-loop, morgen
Je hoeft niet te wachten tot SkillOpt productie-klaar is. Je kunt morgen beginnen met een minimale skill-trainingsloop voor je eigen Claude Code skills:
- Kies een skill, bijvoorbeeld je
secure-code-review.skill.md - Verzamel 20-50 taken met bekende uitkomsten
- Splits in train, selection, test, en raak de test set nooit aan tijdens optimalisatie
- Laat een optimizer-agent voorstellen doen, maximaal 1-4 bounded edits
- Accepteer alleen bij strikte verbetering, op de selection set
- Review de diff, menselijk oordeel over veiligheid en correctheid
- Draai de test set, pas nádat je stopt met optimaliseren
Cruciaal: de test set is heilig. Zodra je hem gebruikt om beslissingen te nemen, is hij geen test set meer maar een tweede selection set, en meet je geen generalisatie.
Dit is niet complex. Het is discipline. En het is precies de discipline die SkillOpt formaliseert.
Dit artikel is gebaseerd op analyse van "SkillOpt: Executive Strategy for Self-Evolving Agent Skills" (arXiv 2605.23904, Microsoft Research, 25 mei 2026). De paper is beschikbaar op arxiv.org en de code op github.com/microsoft/SkillOpt. De conclusies over governance, evaluator-bias en multi-objective scoring zijn DjimIT's interpretatie, de paper zelf demonstreert technische uitmuntendheid zonder deze governance-dimensies te adresseren.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.