定期重新运行 c059212d 认知协议审核的进度跟踪。通过 gh CLI 调查审计衍生的 GitHub 问题 (#237-#241) 和确定性队列项 (DQ1-DQ8) 的状态,跟踪审计范围文件中的提交活动(Track Alpha + Track Beta),扫描新打开的问题中的紧急审计目标,并在 docs/audit-delta-YYYY-MM-DD.md 生成进度报告。每当您想要检查“先前的认知审计已解决了多少”、“跟踪审计问题状态”、“查看自上次运行以来审计范围发生了什么变化”、“查找新的审计项目”或运行 /audit-delta 时,请调用此技能。按需调用以进行每周到每月的审核进度检查。这是一个轻量级的增量跟踪器,而不是新的整体重新审核。
Google Ads 帐户审核和业务环境设置。首先运行它 - 它收集业务信息,分析帐户运行状况,并保存所有其他广告技能重复使用的上下文。在“审核我的广告”、“广告审核”、“设置我的广告”、“上线”、“帐户概览”、“我的帐户怎么样”、“广告运行状况检查”、“我应该修复我的广告中的哪些内容”时触发,或者当用户是 AdsAgent 的新手且之前未运行过审核时触发。当其他广告技能检测到business-context.json丢失时也会主动触发。
对任何代码库运行完整的质量工程审计。从代码中得出行为要求,生成规范跟踪功能测试,通过回归测试运行三遍代码审查,执行多模型规范审计(三人委员会),并生成带有 TDD 验证补丁的综合错误报告。发现仅靠结构代码审查无法发现的 35% 的实际缺陷。适用于任何语言。触发“质量手册”、“规范审核”、“三人委员会”、“适合目的”或“报道剧院”。
AUD 工件的规范对账运行表。创建或更新审计,处理每项发现,协调规范/合同,并仅在审计状态支持时才移交关闭。
全面的网站和 Web 应用程序审核,涵盖安全性、用户体验、性能、可访问性、搜索引擎优化、合规性和收入保护。每当用户要求审核、审查、检查或评分网站或 Web 应用程序时,请使用此技能。当用户说“全栈审核”、“用户体验审核”、“安全审核”、“启动检查表”、“我的网站准备好启动了吗”、“检查我的网站”、“检查我的代码是否存在问题”、“我错过了什么”或希望在启动之前或之后进行全面质量审查的任何变体时,也可以使用。这项技能可以解决人工智能构建和氛围编码网站经常出错的问题:客户端付费墙、暴露的数据库表、缺少安全标头、损坏的移动布局以及导致转化的信任差距。即使用户只询问一个领域(例如“检查我的安全性”)也会触发,因为问题会跨类别复合。
审核现有存储库或纸质代码版本,以了解正确性、可维护性、可测试性、安全性、性能、可观察性和文档方面的开源强化差距。当用户说“审核此存储库”、“强化此项目”、“开源准备情况”或希望在更改代码之前获得优先的文件级报告时使用。
在检查代码安全性、查找漏洞、测试可利用性、强化实施细节以及验证修复是否稳定且生产安全时使用。关键词:安全审计、漏洞扫描、强化、威胁模型、安全编码、依赖审计、SAST、秘密、路径遍历、命令注入、SSRF、XSS、CSRF、authz、authn。
手动运行仲裁审计 - 触发共识审查、重新运行失败的审计、测试审计提示或强制特定的提供程序。当基于钩子的自动触发器未触发或您需要显式控制时使用。触发“运行审核”、“再次审核”、“检查我的代码”、“检查证据”。
当用户要求对项目或组件进行错误审核时使用
审核、设计和实施任何代码库的人工智能代理工具。线束是围绕人工智能编码代理的约束、反馈循环和验证系统——改进它是提高人工智能代码质量的最有效方法。三种模式:审核(记分卡)、实施(设置组件)、设计(完整策略)。每当用户提到线束工程、代理护栏、AI 编码质量、AGENTS.md、CLAUDE.md 设置、代理反馈循环、熵管理、AI 代码审查、Vivi 编码质量、线束审计、线束评分、AI slop、代理优先工程时使用。当用户想要了解为什么 AI 代理会产生错误代码、让其存储库与 AI 代理更好地配合、为代理工作流程设置 CI/CD、设计验证系统或扩展 AI 辅助开发时,也会触发此功能。在讨论 AI 代码漂移或控制 AI 生成的代码质量时主动提出建议。 --- # 线束工程指南 您是一名线束工程顾问。您的工作是审核、设计和实施环境、约束和反馈循环,使 AI 编码代理在生产规模上可靠地工作。 **核心洞察**:代理=模型+线束。工具是围绕模型的一切:工具访问、上下文管理、验证、错误恢复和状态持久性。仅更改线束(而不是模型)将 LangChain 的代理在 Terminal Bench 2.0 上从 52.8% 提高到 66.5%。 ## 预评估门 在运行审核之前,请回答以下 5 个问题以确定适当的审核深度。 1. 项目预计寿命是否超过1个月? 2. AI 代理今后会修改这个代码库吗? 3. 该项目是否拥有(或计划拥有)>500 LOC? 4. 是否至少有一个人工智能生成的代码实例导致了问题? 5. 是否有多个贡献者(人类或代理)? | “是”计数 |路线 |你得到什么 | |------------|--------|--------------| | **4-5** | **全面审核** |所有 45 个项目在 8 个维度上进行评分。详细的改进报告
使用并行 Haiku 子代理审核 BMAD 源文件是否违反文件引用约定。当用户请求技能、工作流程或任务的“审核文件参考”时使用。
当用户要求系统错误分析或任何重点审计(例如“api审计”、“auditcodex”、“缓存审计”、“灾难恢复”、“错误审查”、“功能标志审计”、“集成安全”、“可观察性审计”、“队列审计”、“发布规则”、“序列化审计”、“会话审计”、“技术债务”、“租户隔离”、“测试审查”、“上传”时,必须调用此技能)安全”、“ai 代码审核”、“死代码”、任何安全漏洞扫描,例如“sql 注入”、“xss”、“rce”、“ssrf”、“xxe”、“访问控制”、“路径遍历”、“文件上传”、“ssti”、“graphql 注入”、“业务逻辑”、“缺少身份验证”或“安全侦察”,或完整的安全扫描,例如“güvenlik” taraması”、“安全扫描”、“全面安全扫描”、“运行所有安全扫描”或“安全扫描”。 使用“/bug-report”进行一般扫描,使用“/bug-report <subcommand>”进行特定于域的审核,使用“/bug-report security-sweep”并行运行所有安全扫描。所有模式都使用共享报告合约将经过验证的发现写入 BUG-REPORT.md。
skill-sample/ ├─ SKILL.md ⭐ 必备:技能说明入口:用途 / 安装 / 用法 / 示例 / 依赖 ├─ manifest.sample.json ⭐ 推荐:机器可读元信息:用于索引 / 校验 / 自动填表 ├─ LICENSE.sample ⭐ 推荐:授权与使用范围:开源 / 限制 / 商用说明 ├─ scripts/ │ └─ example-run.py ✅ 可运行示例脚本:让用户导入后立刻验证“能用” ├─ assets/ │ ├─ example-formatting-guide.md 🧩 输出规范:统一排版 / 结构 / 风格 │ └─ example-template.tex 🧩 模板资源:报告/文档模板,快速生成标准产物 └─ references/ 🧩 参考资料库:方法论 / 结构指南 / 最佳实践 ├─ example-ref-structure.md 🧩 结构参考:章节框架 / 目录组织 ├─ example-ref-analysis.md 🧩 分析参考:常用套路 / 指标口径 └─ example-ref-visuals.md 🧩 视觉参考:图表规范 / 可视化建议
更多 Agent Skills 规范 详见Anthropic官方文档:https://agentskills.io/home
├─ ⭐ 必备:YAML Frontmatter(必须存在,放在文件最顶部) │ ├─ ⭐ name :技能唯一名;须符合命名规则,并建议与目录名一致 │ └─ ⭐ description :技能描述;建议包含触发关键词(便于检索/匹配) │ ├─ ✅ 可选:Frontmatter 扩展字段(规范允许,但非强制) │ ├─ ✅ license :许可证标识(也可配合单独 LICENSE 文件) │ ├─ ✅ compatibility :兼容性/运行环境要求(仅在确实有限制时写) │ ├─ ✅ metadata :任意键值对(如 author/version/source_url 等) │ └─ 🧩 allowed-tools :允许工具白名单(规范标注为 experimental) │ └─ ✅ 推荐:Markdown 正文(自由格式,但建议按“渐进式披露”组织) ├─ ✅ Overview / Purpose :一句话说明目标 + 不做什么(边界) ├─ ✅ When to use :触发条件/适用场景(让模型/用户知道何时调用) ├─ ✅ Step-by-step :步骤化流程(最好 3–6 步,保证可复现) ├─ ✅ Inputs / Outputs :输入格式、输出格式、产物位置(文件/文本/JSON等) ├─ ✅ Examples :至少 1 个可复制示例(越“能跑”越好) ├─ 🧩 Files & References :引用assets/、references/、scripts/(相对路径) ├─ 🧩 Edge cases :边界情况/限制(大文件、速率限制、失败回退) ├─ 🧩 Troubleshooting :常见错误与解决(依赖缺失、路径不对、权限问题) └─ 🧩 Safety notes :涉及联网/写文件/执行命令时给出提醒(建议写)
在 GitHub 和各类社区里,技能文件分散、难检索、也难判断是否可靠。SkillWink 把开源技能集中整理成可搜索、可筛选、可直接下载使用的技能库,让你更快找到“正好能用”的那一个。并且支持在SkillWink上直接上传skills。
我们提供 AI 语义搜索 + 关键字检索,支持 版本更新与多维排序(下载/点赞/评论/更新),并为每个技能提供 SKILL.md 开放标准与来源信息。你还可以在详情页直接 评论讨论、交流用法与改进建议。
快速上手:
支持下载与导入 skills(.zip/.skill),本地放置后即可生效:
~/.claude/skills/(Claude Code)
~/.codex/skills/(Codex CLI)
~/.gemini/skills/(Gemini CLI)
同一份 SKILL.md 跨平台通用。
你需要了解的:技能是什么、怎么运行的、怎么找、怎么导入、怎么判断可信、怎么参与共建。
这里的“skills(技能)”是一种可复用的任务能力包,通常包含 SKILL.md 说明(用途、输入输出、使用方法)以及可选的脚本/模板/示例文件。
你可以把它理解为:给 AI 助手或工具链用的“插件说明书 + 资源包”,可被反复安装与分享。
技能系统采用“渐进式披露”策略,高效管理上下文信息,具体流程如下:
发现阶段:系统启动时,智能体仅加载各技能的名称与简要描述——信息精简,足以判断其适用场景,避免冗余加载。
激活阶段:当任务需求与某技能描述匹配时,智能体才将对应的完整 SKILL.md 说明文档动态载入上下文。
执行阶段:智能体严格遵循文档指引执行操作,并按需调用关联文件或运行内置代码模块。
核心优势:该设计使智能体始终保持轻量高效,同时具备“按需扩展上下文”的能力,既保障响应速度,又确保复杂任务拥有充分执行依据。
推荐 3 种方式组合使用:
注:以上导入方式文件大小控制在10M之内。
常见路径如下(不同系统略有差异,以你本机为准):
同一份 SKILL.md 通常可以跨工具复用。你在 SkillWink 导入后,也可以查看“放置指引/安装说明”。
可以。很多技能本质是标准化说明 + 资源,只要目标工具支持读取该格式,就能共享使用。
比如:检索类技能 + 写作类技能 + 自动化脚本,形成“发现 → 处理 → 输出”的工作流。
一部分skills来源于公开的 GitHub 仓库。我们会筛掉低质量仓库(至少 2 星),并扫描基本质量指标,还有一部分是SkillWink平台的创作者独立上传的。作为使用者,在安装前应始终审查代码,对安全问题负责。
最常见原因是这几类:
我们会尽量避免。你可以用 排序 + 评论 让“好用的”更靠前:
