%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
TW
Skill Retriever
概述
安裝
工具列表
內容詳情
替代品
什麼是Skill Retriever?
Skill Retriever是一個智能的Claude Code組件檢索系統。它解決了社區組件碎片化的問題——目前有超過2,500個組件分散在56個GitHub倉庫中。當您需要完成特定任務時,Skill Retriever能夠智能地找到最相關的組件集合,自動處理依賴關係,並安全地安裝到您的Claude Code環境中。如何使用Skill Retriever?
Skill Retriever作為MCP服務器集成到Claude Code中。您只需在Claude Code中描述您的需求(如'我需要設置Git提交自動化'),系統就會搜索相關組件,檢查依賴和衝突,然後一鍵安裝。整個過程完全在Claude Code界面中完成,無需手動查找和配置。適用場景
Skill Retriever特別適合以下場景: 1. 需要擴展Claude Code功能但不知道有哪些可用組件 2. 需要完成複雜任務,涉及多個組件的協同工作 3. 擔心組件兼容性和安全性問題 4. 希望自動保持組件庫最新狀態 5. 需要安全掃描組件中的潛在風險主要功能
智能組件檢索
結合語義搜索和圖關係分析,從2,561個組件中找到最相關的集合。不僅考慮內容匹配度,還考慮組件間的依賴關係。
自動依賴解析
自動識別並安裝所有必需的依賴組件,確保安裝的組件能正常工作,避免手動查找依賴的麻煩。
安全漏洞掃描
基於安全研究自動掃描組件中的潛在風險,包括數據洩露、憑證訪問、權限提升等22%的常見漏洞模式。
自動同步更新
每小時自動檢查組件庫更新,確保您使用的組件始終是最新版本,支持GitHub Webhook即時更新。
衝突檢測
在安裝前檢查組件間的兼容性問題,避免不兼容的組件被同時安裝導致功能衝突。
學習優化系統
系統會根據實際使用情況自動優化推薦算法,經常一起使用的組件會獲得更高的推薦權重。
LLM輔助安全分析
使用Claude API對高風險組件進行深度分析,減少誤報,提供更準確的安全評估。
自動發現新組件庫
定期從GitHub發現新的技能倉庫並自動索引,不斷擴展可用的組件庫。
優勢
一站式解決方案:無需在多個GitHub倉庫中手動搜索組件
智能推薦:基於任務描述推薦最合適的組件組合
安全保障:內置安全掃描,避免安裝有風險的組件
自動維護:組件自動更新,保持最新狀態
易於使用:完全集成在Claude Code中,無需額外工具
節省時間:自動處理依賴和配置,大幅減少設置時間
持續優化:系統會根據使用反饋不斷改進推薦質量
侷限性
需要Claude Code環境:僅適用於Claude Code用戶
網絡依賴:需要訪問GitHub獲取組件和更新
安全掃描可能有誤報:特別是bash代碼示例可能被誤判為風險
LLM安全分析需要API密鑰:深度安全分析需要配置Anthropic API
組件質量依賴社區:推薦質量受原始組件質量影響
新組件需要時間索引:新發布的組件可能需要等待自動發現週期
如何使用
配置Claude Code
在Claude Code的配置文件中添加Skill Retriever MCP服務器配置
%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%230080ff;%20}%20%3c/style%3e%3c/defs%3e%3cpath%20class='st0'%20d='M16.2,11.1c.4.5.4,1.2,0,1.8l-4.7,7.1h-3.8l5.3-8L7.6,4h3.8l4.7,7.1Z'/%3e%3c/svg%3e)
重啟Claude Code
重啟Claude Code以加載Skill Retriever MCP服務器
描述您的需求
在Claude Code對話中描述您需要完成的任務
讓Claude搜索組件
Claude會自動調用Skill Retriever搜索相關組件
查看並確認推薦
查看推薦的組件列表,包括安全狀態和依賴關係
安裝組件
確認安裝後,組件及其依賴會自動安裝到.claude/目錄
使用案例
自動化Git工作流
用戶希望自動化Git提交過程,使用規範的提交消息格式,並在提交前自動運行代碼檢查
JWT身份驗證設置
開發者需要在項目中實現JWT身份驗證,但不確定有哪些可用的組件和安全注意事項
代碼審查自動化
團隊希望自動化代碼審查流程,在PR創建時自動運行代碼質量、安全性和規範檢查
安全審計現有組件
用戶已經安裝了一些組件,希望檢查它們的安全狀態,特別是從社區獲取的組件
常見問題
Skill Retriever是免費的嗎?
是的,Skill Retriever是完全開源的免費工具。但請注意,某些功能(如LLM輔助安全分析)需要您自己的Anthropic API密鑰。
我需要編程知識才能使用嗎?
不需要。Skill Retriever設計為非技術用戶友好。您只需在Claude Code中描述需求,系統會處理所有技術細節。
安裝的組件安全嗎?
Skill Retriever會對所有組件進行安全掃描,基於最新的安全研究檢測常見漏洞模式。系統會標記風險級別,您可以在安裝前查看安全評估。
如果組件不工作或有問題怎麼辦?
您可以通過report_outcome工具報告問題。系統會跟蹤組件的使用結果,並用於改進未來的推薦。嚴重問題可能導致組件被標記為有問題。
如何更新已安裝的組件?
Skill Retriever每小時自動檢查組件更新。當源倉庫有更新時,系統會通知您,您可以重新安裝組件獲取最新版本。
我可以添加自己的私有組件庫嗎?
目前Skill Retriever主要索引公共GitHub倉庫。私有倉庫的支持正在開發中,您可以通過ingest_repo工具手動添加特定倉庫。
為什麼有些bash代碼被標記為安全風險?
安全掃描器會檢測shell注入模式,有時會誤將文檔中的bash示例代碼標記為風險。您可以使用security_scan_llm工具進行更準確的LLM分析來減少誤報。
Skill Retriever會影響Claude Code的性能嗎?
影響很小。MCP服務器在後臺運行,搜索通常在120毫秒內完成。首次搜索可能需要幾秒加載模型,後續搜索都很快。
如何卸載不需要的組件?
您可以直接從.claude/目錄中刪除對應的文件。Skill Retriever目前不提供自動卸載功能,但您可以通過report_outcome報告組件被移除。
Skill Retriever支持哪些Claude Code版本?
支持所有支持MCP協議的Claude Code版本。建議使用最新版本以獲得最佳兼容性和性能。
相關資源
官方GitHub倉庫
Skill Retriever的源代碼和最新版本
Claude Code文檔
Claude Code的官方使用文檔
Agent Skills規範
Agent Skills開放標準文檔
DeepLearning.AI Agent Skills課程
官方技能創建課程,涵蓋Claude API、Claude Code和Agent SDK
Anthropic官方技能倉庫
Anthropic官方維護的技能集合
MCP協議規範
Model Context Protocol的官方規範文檔
安全研究論文
Yi Liu等人的'Agent Skills in the Wild'研究,Skill Retriever安全掃描基於此研究
安裝
複製以下命令到你的Client進行配置
{
"mcpServers": {
"skill-retriever": {
"command": "uv",
"args": ["run", "--directory", "/path/to/skill-retriever", "skill-retriever"]
}
}
}
{
"mcpServers": {
"skill-retriever": {
"command": "uv",
"args": ["run", "--directory", "/path/to/skill-retriever", "skill-retriever"]
}
}
}注意:您的密鑰屬於敏感信息,請勿與任何人分享。
🚀 技能檢索器
技能檢索器是一個基於圖的MCP服務器,用於Claude Code組件檢索。給定一個任務描述,它能夠返回最小的正確組件集(包括代理、技能、命令、鉤子和MCP),並解決所有依賴關係。
🚀 快速開始
與Claude Code集成
- 添加到Claude Code的MCP配置:在
~/.claude/claude_desktop_config.json文件中添加以下內容:
{
"mcpServers": {
"skill-retriever": {
"command": "uv",
"args": ["run", "--directory", "/path/to/skill-retriever", "skill-retriever"]
}
}
}
- 重啟Claude Code:重啟Claude Code以加載MCP服務器。
可用工具
配置完成後,Claude Code可以使用以下工具:
| 工具 | 用途 |
|---|---|
| 搜索與安裝 | |
search_components |
根據任務描述查找組件 |
get_component_detail |
獲取特定組件的完整信息 |
install_components |
將組件安裝到.claude/目錄(自動記錄安裝結果) |
check_dependencies |
在安裝前檢查依賴關係和衝突 |
| 數據攝入 | |
ingest_repo |
對新的組件倉庫進行索引 |
| 同步管理 | |
register_repo |
跟蹤倉庫以進行自動同步 |
unregister_repo |
停止跟蹤倉庫 |
list_tracked_repos |
列出所有跟蹤的倉庫 |
sync_status |
獲取同步系統的狀態 |
start_sync_server |
啟動Webhook和輪詢器 |
stop_sync_server |
停止同步服務 |
poll_repos_now |
立即觸發輪詢 |
| 發現管道 | |
run_discovery_pipeline |
從GitHub發現並攝入新的技能倉庫 |
discover_repos |
在GitHub上搜索技能倉庫 |
get_pipeline_status |
獲取發現管道的配置 |
get_heal_status |
查看自動修復失敗的情況和狀態 |
clear_heal_failures |
清除跟蹤的失敗記錄 |
| 結果跟蹤 | |
report_outcome |
記錄使用結果(已使用、已移除、已棄用) |
get_outcome_stats |
獲取組件的成功/失敗統計信息 |
get_outcome_report |
查看有問題的組件和衝突 |
| 反饋引擎 | |
analyze_feedback |
分析模式以建議圖的改進 |
get_feedback_suggestions |
查看待處理的邊建議 |
review_suggestion |
接受或拒絕建議的邊 |
apply_feedback_suggestions |
將接受的建議應用到圖中 |
| 安全掃描 | |
security_scan |
對特定組件進行漏洞掃描(基於正則表達式) |
security_scan_llm |
使用LLM減少誤報進行掃描(需要API密鑰) |
security_audit |
對所有組件進行審計,按風險級別報告 |
backfill_security_scans |
對未掃描的現有組件進行掃描 |
示例對話
用戶:我需要設置使用常規提交的Git提交自動化
Claude:讓我搜索相關組件。
[調用search_components,查詢參數為 "git commit automation conventional commits"]
我找到了3個有幫助的組件:
1. **commit-command**(命令) - 以常規格式自動執行Git提交
- 得分:0.92
- 健康狀態:活躍(2天前更新)
- 令牌成本:450
2. **git-utils**(技能) - Git輔助函數
- 得分:0.85
- 依賴於:commit-command
3. **conventional-commits-hook**(鉤子) - 預提交驗證
- 得分:0.78
- 健康狀態:活躍
你想安裝這些組件嗎?
用戶:是的,請安裝
Claude:[調用install_components,組件ID為 ["davila7/commit-command", "davila7/conventional-commits-hook"]]
已將4個組件安裝到.claude/目錄:
- commands/commit.md
- skills/git-utils.md
- skills/shell-helpers.md(依賴項)
- hooks/conventional-commits.md
現在你可以使用`/commit`命令來創建常規提交了!
包含安全集成的工作流程
┌─────────────────────────────────────────────────────────────────┐
│ Claude Code + 技能檢索器工作流程 │
│ │
│ 1. 用戶:"我需要JWT身份驗證" │
│ │ │
│ ▼ │
│ 2. Claude:search_components("JWT authentication") │
│ │ │
│ ▼ │
│ 3. 技能檢索器返回: │
│ ┌────────────────────────────────────────────────────┐ │
│ │ auth-jwt-skill │ │
│ │ 得分:0.89 │ │
│ │ 健康狀態:活躍(2天前) │ │
│ │ 安全狀態:⚠️ 中等(敏感環境密鑰) │ │
│ │ 令牌成本:320 │ │
│ │ │ │
│ │ crypto-utils │ │
│ │ 得分:0.72 │ │
│ │ 健康狀態:活躍 │ │
│ │ 安全狀態:✅ 安全 │ │
│ │ 令牌成本:180 │ │
│ └────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ 4. Claude:"auth-jwt-skill有中等安全風險(從環境中訪問JWT_SECRET)。是否繼續?" │
│ │ │
│ ▼ │
│ 5. 用戶:"是的,對於JWT來說這是預期的" │
│ │ │
│ ▼ │
│ 6. Claude:install_components(["auth-jwt-skill"]) │
│ │ │
│ ▼ │
│ 7. 技能檢索器: │
│ - 解決依賴關係(添加crypto-utils) │
│ - 寫入.claude/skills/目錄 │
│ - 記錄INSTALL_SUCCESS結果 │
│ │ │
│ ▼ │
│ 8. Claude:"已安裝auth-jwt-skill + crypto-utils。注意:需要JWT_SECRET環境變量。" │
└─────────────────────────────────────────────────────────────────┘
✨ 主要特性
- 高效檢索:基於混合檢索(向量 + 圖)技術,能夠快速準確地找到所需組件。
- 自動同步:每小時自動輪詢倉庫更新,確保數據的及時性。
- 安全掃描:在攝入和按需掃描組件時,檢測安全漏洞,減少潛在風險。
- 反饋學習:通過執行結果反饋到圖中,不斷改進未來的推薦。
📦 安裝指南
# 安裝
uv sync
# 運行MCP服務器
uv run skill-retriever
💻 使用示例
基礎用法
# 搜索組件
search_components(query="git commit automation conventional commits")
# 安裝組件
install_components(["davila7/commit-command", "davila7/conventional-commits-hook"])
高級用法
# 運行安全掃描
security_scan(component_id="owner/repo/skill/name")
# 使用LLM進行安全掃描
security_scan_llm(component_id="owner/repo/skill/name")
📚 詳細文檔
當前索引
當前索引包含來自56個倉庫的2,561個組件,每小時自動發現並同步。
| 類型 | 數量 | 描述 |
|---|---|---|
| 技能 | 1,952 | 封裝領域專業知識和程序知識的可移植指令集 |
| 代理 | 492 | 具有隔離上下文和細粒度權限的專業AI角色 |
| 命令 | 40 | 斜槓命令(如/commit、/review等) |
| 鉤子 | 37 | 事件處理程序(如SessionStart、PreCompact等) |
| MCP | 37 | 用於外部集成的模型上下文協議服務器 |
| 設置 | 3 | 配置預設 |
頂級倉庫
| 倉庫 | 組件數量 | 描述 |
|---|---|---|
| sickn33/antigravity-awesome-skills | 722 | 跨領域精心策劃的大型技能集合 |
| VoltAgent/awesome-agent-skills | 232 | 200多個與Codex、Gemini CLI兼容的精心策劃的技能 |
| wshobson/agents | 226 | 具有129個技能的多代理編排 |
| davepoon/buildwithclaude | 158 | 全棧開發技能 |
| hesreallyhim/awesome-claude-code | 155 | 全面的Claude Code技能集合 |
| K-Dense-AI/claude-scientific-skills | 123 | 科學計算和研究技能 |
| zhayujie/chatgpt-on-wechat | 113 | 具有多平臺代理技能的微信機器人 |
| ComposioHQ/awesome-claude-skills | 85 | 與Rube MCP集成的自動化技能(Gmail、Slack、日曆) |
| Orchestra-Research/AI-Research-SKILLs | 80 | AI研究技能(微調、可解釋性、分佈式訓練、MLOps) |
| assafelovic/gpt-researcher | 78 | 深度研究代理技能 |
| BehiSecc/awesome-claude-skills | 61 | 文檔處理、安全、科學技能 |
| jeffallan/claude-skills | 56 | 社區Claude技能集合 |
| trailofbits/skills | 46 | Trail of Bits專注於安全的技能 |
| remotion-dev/skills | 35 | Remotion視頻渲染技能 |
| anthropics/skills | 17 | Anthropic官方技能(Excel、PowerPoint、PDF、技能創建器) |
解決的問題
Claude Code支持存儲在.claude/目錄中的自定義組件。
代理技能標準
技能是擴展Claude功能的指令文件夾。每個技能都包含一個SKILL.md markdown文件,其中包含名稱、描述和指令。技能採用漸進式披露方式,即最初只加載名稱和描述,只有在觸發時才加載完整的指令。
開放標準意味著技能可以在以下平臺上使用:
- Claude AI和Claude Desktop
- Claude Code
- Claude Agent SDK
- Codex、Gemini CLI、OpenCode等兼容平臺
組件類型解釋
| 類型 | 功能 | 使用場景 |
|---|---|---|
| 技能 | 將領域專業知識和程序知識封裝到可移植的指令中 | 可重複的工作流程、公司特定的分析、新功能 |
| 代理 | 具有隔離上下文和工具訪問權限的子進程 | 並行執行、專業任務、權限隔離 |
| 命令 | 觸發特定行為的斜槓命令(/name) |
快速操作、快捷方式、任務調用 |
| 鉤子 | 在事件(如SessionStart、PreCompact)上自動運行 | 上下文設置、自動保存、清理 |
| MCP | 連接到外部系統的模型上下文協議服務器 | 數據庫訪問、API、文件系統 |
技能、工具和子代理的比較
| 概念 | 類比 | 持久性 | 上下文 |
|---|---|---|---|
| 工具 | 錘子、鋸子、釘子 | 始終在上下文中 | 添加到主窗口 |
| 技能 | 如何建造書架 | 漸進式加載 | 名稱/描述 → SKILL.md → 引用 |
| 子代理 | 聘請專家 | 會話範圍 | 與父級隔離 |
關鍵見解:技能解決了上下文窗口問題。通過漸進式披露指令,它們避免了用可能永遠不需要的數據汙染上下文。
解決的問題
目前有1000多個社區組件分散在GitHub倉庫中。找到適合你任務的組件、理解它們的依賴關係並確保兼容性是一件痛苦的事情。 技能檢索器通過以下方式解決了這個問題:
- 將組件倉庫索引到可搜索的知識圖中。
- 理解組件之間的依賴關係。
- 準確返回給定任務所需的組件(不多也不少)。
- 直接將它們安裝到你的
.claude/目錄中。
架構
┌─────────────────────────────────────────────────────────────────┐
│ Claude Code │
│ │
│ "我需要添加Git提交自動化" │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ MCP客戶端(內置於Claude Code) │ │
│ │ │ │
│ │ tools/call: search_components │ │
│ │ tools/call: install_components │ │
│ │ tools/call: check_dependencies │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
│ stdio (JSON-RPC)
▼
┌─────────────────────────────────────────────────────────────────┐
│ 技能檢索器MCP服務器 │
│ │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────────────────┐ │
│ │ 向量存儲 │ │ 圖存儲 │ │ 元數據存儲 │ │
│ │ Store │ │ Store │ │ Store │ │
│ │ (FAISS) │ │(FalkorDB/NX)│ │ (JSON) │ │
│ └─────────────┘ └─────────────┘ └─────────────────────────┘ │
│ │ │ │ │
│ └────────────────┼────────────────────┘ │
│ ▼ │
│ ┌───────────────────────┐ │
│ │ 檢索管道 │ │
│ │ │ │
│ │ 1. 向量搜索 │ │
│ │ 2. 圖PPR │ │
│ │ 3. 得分融合 │ │
│ │ 4. 依賴解析 │ │
│ │ 5. 衝突檢查 │ │
│ │ 6. 上下文組裝 │ │
│ └───────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
工作原理
1. 攝入(索引倉庫)
當你攝入一個組件倉庫時:
倉庫 (GitHub)
│
▼
┌──────────────────┐
│ 克隆到臨時目錄 │
└──────────────────┘
│
▼
┌──────────────────┐ 策略(首個匹配策略生效):
│ 爬蟲 │ 1. Davila7Strategy: cli-tool/components/{type}/
│ (基於策略)│ 2. PluginMarketplaceStrategy: plugins/{name}/skills/
└──────────────────┘ 3. FlatDirectoryStrategy: .claude/{type}/
│ 4. GenericMarkdownStrategy: 任何帶有名稱前置元數據的*.md文件
│ 5. AwesomeListStrategy: README.md中的精選列表
│ 6. PythonModuleStrategy: 帶有文檔字符串的*.py文件
▼
┌──────────────────┐
│ 實體解析器 │ 使用以下方法對相似組件進行去重:
│ (模糊匹配 + 嵌入) │ - RapidFuzz token_sort_ratio (階段1)
└──────────────────┘ - 嵌入餘弦相似度 (階段2)
│
▼
┌──────────────────┐
│ 索引到: │
│ - 圖節點 │ 組件 → 具有類型和標籤的節點
│ - 圖邊 │ 依賴關係 → DEPENDS_ON邊
│ - 向量存儲 │ 用於語義搜索的嵌入
│ - 元數據 │ 用於安裝的完整內容
└──────────────────┘
2. 檢索(查找組件)
當你搜索組件時:
查詢:"使用常規提交的Git提交自動化"
│
▼
┌───────────────────────────────────────────────────────────────┐
│ 查詢規劃 │
│ │
│ - 提取實體(關鍵字、組件名稱) │
│ - 確定複雜度(簡單/中等/複雜) │
│ - 決定:是否使用PPR?是否使用流程剪枝? │
│ - 檢測抽象級別(代理 vs 命令 vs 鉤子) │
└───────────────────────────────────────────────────────────────┘
│
┌───────────┴───────────┐
▼ ▼
┌───────────────┐ ┌───────────────────────┐
│ 向量搜索 │ │ 圖PPR (PageRank) │
│ │ │ │
│ 語義 │ │ 遵循依賴 │
│ 相似度 │ │ 邊以查找 │
│ 通過FAISS │ │ 相關組件 │
└───────────────┘ └───────────────────────┘
│ │
└───────────┬───────────┘
▼
┌───────────────────────────────────────────────────────────────┐
│ 得分融合 │
│ │
│ 綜合得分 = α × 向量得分 + (1-α) × 圖得分 │
│ 如果指定了組件類型,則進行過濾 │
└───────────────────────────────────────────────────────────────┘
│
▼
┌───────────────────────────────────────────────────────────────┐
│ 傳遞依賴解析 │
│ │
│ 如果 "commit-command" 依賴於 "git-utils",而 "git-utils" 依賴於 "shell-helpers" → 則包含所有三個組件 │
└───────────────────────────────────────────────────────────────┘
│
▼
┌───────────────────────────────────────────────────────────────┐
│ 衝突檢測 │
│ │
│ 檢查所選組件之間的 CONFLICTS_WITH 邊 │
│ 如果將安裝不兼容的組件,則發出警告 │
└───────────────────────────────────────────────────────────────┘
│
▼
┌───────────────────────────────────────────────────────────────┐
│ 上下文組裝 │
│ │
│ - 按類型優先級排序(代理 > 技能 > 命令) │
│ - 估計每個組件的令牌成本 │
│ - 保持在令牌預算內 │
│ - 為每個推薦生成理由 │
└───────────────────────────────────────────────────────────────┘
│
▼
┌───────────────────────────────────────────────────────────────┐
│ 結果 │
│ │
│ [ │
│ { id: "davila7/commit-command", score: 0.92, │
│ rationale: "高語義匹配 + 3個依賴項" }, │
│ { id: "davila7/git-utils", score: 0.85, │
│ rationale: "commit-command的必需依賴項" } │
│ ] │
└───────────────────────────────────────────────────────────────┘
3. 安裝
當你安裝組件時:
install_components(["davila7/commit-command"])
│
▼
┌───────────────────────────────────────────────────────────────┐
│ 解析依賴關係 │
│ │
│ commit-command → [git-utils, shell-helpers] │
│ 總共:3個組件需要安裝 │
└───────────────────────────────────────────────────────────────┘
│
▼
┌───────────────────────────────────────────────────────────────┐
│ 寫入.claude/ │
│ │
│ .claude/ │
│ ├── commands/ │
│ │ └── commit.md ← commit-command │
│ └── skills/ │
│ ├── git-utils.md ← 依賴項 │
│ └── shell-helpers.md ← 傳遞依賴項 │
└───────────────────────────────────────────────────────────────┘
4. 發現管道 (OSS-01, HEAL-01)
自動從GitHub發現並攝入高質量的技能倉庫:
┌─────────────────────────────────────────────────────────────────┐
│ 發現管道 │
│ │
│ ┌──────────────────┐ │
│ │ OSS Scout │ 在GitHub上搜索技能倉庫: │
│ │ │ - 8個搜索查詢(claude、skills等) │
│ │ discover() │ - 最小星數:5 │
│ │ ─────────────▶ │ - 最近活動:180天 │
│ └────────┬─────────┘ - 質量評分(星數、主題等) │
│ │ │
│ ▼ │
│ ┌──────────────────┐ │
│ │ 過濾與評分 │ 得分 = 星數 (40) + 近期活動 (20) │
│ │ │ + 主題 (20) + 描述 (10) │
│ │ 最低得分:30 │ + 分支數 (10) │
│ └────────┬─────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────┐ │
│ │ 攝入新倉庫 │ 克隆 → 爬取 → 去重 → 索引 │
│ │ (每次運行最多10個) │ 使用與ingest_repo相同的管道 │
│ └────────┬─────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────┐ │
│ │ 自動修復器 │ 跟蹤失敗情況: │
│ │ │ - CLONE_FAILED, NO_COMPONENTS │
│ │ 最大重試次數:3 │ - NETWORK_ERROR, RATE_LIMITED │
│ └──────────────────┘ 自動重試可修復的失敗 │
└─────────────────────────────────────────────────────────────────┘
5. 自動同步 (SYNC-01, SYNC-02)
倉庫每小時自動輪詢更新。輪詢器在第一次工具調用時啟動,無需手動激活:
┌─────────────────────────────────────────────────────────────────┐
│ 同步管理器 │
│ │
│ ┌──────────────────┐ ┌──────────────────────────────┐ │
│ │ Webhook服務器 │ │ 倉庫輪詢器 │ │
│ │ (端口9847) │ │ (默認每小時) │ │
│ │ │ │ │ │
│ │ POST /webhook │ │ GET /repos/{owner}/{repo} │ │
│ │ ← GitHub推送 │ │ → GitHub API │ │
│ └────────┬─────────┘ └──────────────┬───────────────┘ │
│ │ │ │
│ └─────────────┬─────────────────────┘ │
│ ▼ │
│ ┌─────────────────────┐ │
│ │ 檢測到更改? │ │
│ │ (新提交SHA) │ │
│ └──────────┬──────────┘ │
│ │ 是 │
│ ▼ │
│ ┌─────────────────────┐ │
│ │ 重新攝入倉庫 │ │
│ │ (增量式) │ │
│ └─────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
6. 反饋循環 (LRNG-04, LRNG-05, LRNG-06)
執行結果反饋到圖中,以改進未來的推薦:
┌─────────────────────────────────────────────────────────────────┐
│ 反饋循環 │
│ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 結果跟蹤 (LRNG-05) │ │
│ │ │ │
│ │ install_components() │ │
│ │ │ │ │
│ │ ├── 成功 → INSTALL_SUCCESS + 增加使用次數 │ │
│ │ └── 失敗 → INSTALL_FAILURE + 跟蹤上下文 │ │
│ │ │ │
│ │ report_outcome() │ │
│ │ ├── USED_IN_SESSION → 使用次數++ │ │
│ │ ├── REMOVED_BY_USER → 負面反饋 │ │
│ │ └── DEPRECATED → 棄用標誌 │ │
│ └──────────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 基於使用的提升 (LRNG-04) │ │
│ │ │ │
│ │ 選擇率提升: │ │
│ │ 高選擇率 → +50% 得分提升 │ │
│ │ 低選擇率 → 無提升 │ │
│ │ │ │
│ │ 共同選擇提升: │ │
│ │ 經常一起選擇 → 每個 +10% (最大30%) │ │
│ │ │ │
│ │ 最終得分 = 基礎得分 × 提升因子 │ │
│ └──────────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 反饋引擎 (LRNG-06) │ │
│ │ │ │
│ │ analyze_feedback() 發現模式: │ │
│ │ │ │
│ │ 共同選擇 (≥3) → 建議 BUNDLES_WITH 邊 │ │
│ │ 共同失敗 (≥2) → 建議 CONFLICTS_WITH 邊 │ │
│ │ │ │
│ │ 人工審核建議 via review_suggestion() │ │
│ │ 接受的建議 → apply_feedback_suggestions() │ │
│ │ 新邊添加到圖中並帶有置信度分數 │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
關鍵見解:系統從實際使用中學習。一起工作良好的組件會得到提升,一起失敗的組件會被標記為衝突。這創建了一個自我改進的推薦引擎。
7. 安全掃描 (SEC-01)
在攝入和按需掃描組件時,檢測安全漏洞:
┌─────────────────────────────────────────────────────────────────┐
│ 安全掃描器 │
│ │
│ 基於Yi Liu等人的 "Agent Skills in the Wild" 研究: │
│ - 26.1%的技能包含易受攻擊的模式 │
│ - 5.2%顯示惡意意圖指標 │
│ - 帶有腳本的技能更容易受到攻擊(2.12倍) │
│ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 漏洞檢測 │ │
│ │ │ │
│ │ 數據洩露 (13.3%) │ │
│ │ - HTTP POST 帶有數據負載 │ │
│ │ - 文件讀取 + 外部請求 │ │
│ │ - Webhook端點 │ │
│ │ │ │
│ │ 憑證訪問 │ │
│ │ - 環境變量收集 │ │
│ │ - SSH密鑰 / AWS憑證訪問 │ │
│ │ - 敏感環境變量 (API_KEY, SECRET, TOKEN) │ │
│ │ │ │
│ │ 權限提升 (11.8%) │ │
│ │ - 通過變量插值進行Shell注入 │ │
│ │ - 動態代碼執行 (eval/exec) │ │
│ │ - sudo執行,chmod 777 │ │
│ │ - 下載並執行模式 │ │
│ │ │ │
│ │ 混淆 (惡意意圖) │ │
│ │ - 十六進制編碼的字符串 │ │
│ │ - Unicode轉義符 │ │
│ │ - 字符串拼接混淆 │ │
│ └──────────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 風險評估 │ │
│ │ │ │
│ │ 風險級別:安全 → 低 → 中等 → 高 → 嚴重 │ │
│ │ │ │
│ │ 風險得分 (0-100): │ │
│ │ 基礎得分 = 發現結果權重之和 │ │
│ │ 腳本乘數 = 如果有腳本則為1.5倍 │ │
│ │ │ │
│ │ 每個組件存儲: │ │
│ │ - 安全風險級別 │ │
│ │ - 安全風險得分 │ │
│ │ - 安全發現結果數量 │ │
│ │ - 是否有腳本 │ │
│ └──────────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 集成點 │ │
│ │ │ │
│ │ 攝入:在ingest_repo()期間掃描 │ │
│ │ 檢索:在搜索結果中包含安全狀態 │ │
│ │ 按需:security_scan() 和 security_audit() 工具 │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
關鍵見解:安全掃描在潛在易受攻擊的模式進入你的代碼庫之前捕獲22%以上的問題。系統標記數據洩露、憑證訪問、權限提升和代碼混淆。
當前索引統計 (2,561個組件):
| 風險級別 | 數量 | 百分比 |
|---|---|---|
| 安全 | 796 | ~49% |
| 低 | 2 | ~0.1% |
| 中等 | 19 | ~1.2% |
| 高 | 8 | ~0.5% |
| 嚴重 | 202 | ~12% |
| 未掃描 | 600 | ~37% |
頂級發現模式 (在嚴重組件中):
| 模式 | 數量 | 備註 |
|---|---|---|
shell_injection |
424 | 許多是markdown中的bash示例(誤報) |
webhook_post |
87 | Discord/Slack Webhook URL |
env_harvest_all |
74 | process.env / os.environ 訪問 |
ssh_key_access |
51 | 對 .ssh/ 路徑的引用 |
http_post_with_data |
38 | HTTP POST 帶有數據負載 |
已知限制:
shell_injection模式對markdown中的bash代碼塊存在誤報。- Webhook模式會標記合法的集成(Discord機器人、Slack通知)。
8. LLM輔助的安全分析 (SEC-02)
在正則表達式掃描之上的可選層,使用Claude減少誤報:
┌─────────────────────────────────────────────────────────────────┐
│ LLM安全分析器 (SEC-02) │
│ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 使用場景 │ │
│ │ │ │
│ │ - 組件被正則表達式掃描標記為高/嚴重風險 │ │
│ │ - 懷疑存在誤報(文檔中的shell命令) │ │
│ │ - 在安裝嚴重組件之前需要確認信心 │ │
│ └──────────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 分析過程 │ │
│ │ │ │
│ │ 1. 運行正則表達式掃描 (SEC-01) 以獲取發現結果 │ │
│ │ 2. 將發現結果 + 組件內容發送給Claude │ │
│ │ 3. Claude分析每個發現結果: │ │
│ │ - 它是在文檔中還是可執行代碼中? │ │
│ │ - 它是合法的功能(JWT訪問環境變量)?│ │
│ │ - 上下文:通知技能中的Webhook = 預期 │ │
│ │ 4. 返回每個發現結果的裁決: │ │
│ │ - TRUE_POSITIVE: 真正的安全問題 │ │
│ │ - FALSE_POSITIVE: 安全,錯誤標記 │ │
│ │ - CONTEXT_DEPENDENT: 取決於使用情況 │ │
│ │ - NEEDS_REVIEW: 無法確定,需要人工審核 │ │
│ └──────────────────────────────────────────────────────────┘ │
│ │ │
│ ▼ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 調整後的風險得分 │ │
│ │ │ │
│ │ 原始得分 = 75 (嚴重,5個發現結果) │ │
│ │ │ │
│ │ LLM分析: │ │
│ │ - 3 × FALSE_POSITIVE (markdown中的bash) │ │
│ │ - 1 × TRUE_POSITIVE (環境變量收集) │ │
│ │ - 1 × CONTEXT_DEPENDENT │ │
│ │ │ │add
Add two numbers
參數
a : int*
描述
第一個數字
參數
b : int*
描述
第二個數字
multiply
Multiply two numbers
參數
a : float*
描述
第一個數字
參數
b : float*
描述
第二個數字
calculate_bmi
Calculate BMI given weight in kg and height in meters
參數
weight_kg : float*
描述
體重(千克)
參數
height_m : float*
描述
身高(米)
get_weather
Get current weather for a city
參數
city : str*
描述
城市名稱
process_data
Process a list of data records with specified operation
參數
data : List[Dict[str, Any]]*
描述
包含數據記錄的字典列表
參數
operation : str*
描述
要執行的操作('sum'、'average'、'count'、'filter')
替代品
Vestige
Vestige是一個基於認知科學的AI記憶引擎,通過實現預測誤差門控、FSRS-6間隔重複、記憶夢境等29個神經科學模塊,為AI提供長期記憶能力。包含3D可視化儀表板和21個MCP工具,完全本地運行,無需雲端。
Rust
10.5K
4.5分
M
Moltbrain
MoltBrain是一個為OpenClaw、MoltBook和Claude Code設計的長期記憶層插件,能夠自動學習和回憶項目上下文,提供智能搜索、觀察記錄、分析統計和持久化存儲功能。
TypeScript
9.1K
4.5分
Bm.md
一個功能豐富的Markdown排版工具,支持多種樣式主題和平臺適配,提供即時編輯預覽、圖片導出和API集成能力
TypeScript
14.8K
5分
S
Security Detections MCP
Security Detections MCP 是一個基於Model Context Protocol的服務器,允許LLM查詢統一的安全檢測規則數據庫,涵蓋Sigma、Splunk ESCU、Elastic和KQL格式。最新3.0版本升級為自主檢測工程平臺,可自動從威脅情報中提取TTPs、分析覆蓋差距、生成SIEM原生格式檢測規則、運行測試並驗證。項目包含71+工具、11個預構建工作流提示和知識圖譜系統,支持多SIEM平臺。
TypeScript
6.7K
4分
Paperbanana
PaperBanana是一個自動化生成學術圖表和統計圖的智能框架,支持從文本描述生成高質量的論文插圖,採用多智能體管道和迭代優化,提供CLI、Python API和MCP服務器等多種使用方式。
Python
8.9K
5分
Better Icons
一個提供超過20萬圖標搜索和檢索的MCP服務器和CLI工具,支持150多個圖標庫,幫助AI助手和開發者快速獲取和使用圖標。
TypeScript
8.7K
4.5分
Assistant Ui
assistant-ui是一個開源TypeScript/React庫,用於快速構建生產級AI聊天界面,提供可組合的UI組件、流式響應、無障礙訪問等功能,支持多種AI後端和模型。
TypeScript
9.0K
5分
A
Apify MCP Server
Apify MCP服務器是一個基於模型上下文協議(MCP)的工具,允許AI助手通過數千個現成的爬蟲、抓取器和自動化工具(Apify Actor)從社交媒體、搜索引擎、電商等網站提取數據。它支持OAuth和Skyfire代理支付,可通過HTTPS端點或本地stdio方式集成到Claude、VS Code等MCP客戶端中。
TypeScript
8.7K
5分
Markdownify MCP
Markdownify是一個多功能文件轉換服務,支持將PDF、圖片、音頻等多種格式及網頁內容轉換為Markdown格式。
TypeScript
34.1K
5分
Baidu Map
已認證
百度地圖MCP Server是國內首個兼容MCP協議的地圖服務,提供地理編碼、路線規劃等10個標準化API接口,支持Python和Typescript快速接入,賦能智能體實現地圖相關功能。
Python
42.4K
4.5分
Firecrawl MCP Server
Firecrawl MCP Server是一個集成Firecrawl網頁抓取能力的模型上下文協議服務器,提供豐富的網頁抓取、搜索和內容提取功能。
TypeScript
142.1K
5分
Sequential Thinking MCP Server
一個基於MCP協議的結構化思維服務器,通過定義思考階段幫助分解複雜問題並生成總結
Python
34.2K
4.5分
Edgeone Pages MCP Server
EdgeOne Pages MCP是一個通過MCP協議快速部署HTML內容到EdgeOne Pages並獲取公開URL的服務
TypeScript
25.7K
4.8分
Notion Api MCP
已認證
一個基於Python的MCP服務器,通過Notion API提供高級待辦事項管理和內容組織功能,實現AI模型與Notion的無縫集成。
Python
21.4K
4.5分
Magic MCP
Magic Component Platform (MCP) 是一個AI驅動的UI組件生成工具,通過自然語言描述幫助開發者快速創建現代化UI組件,支持多種IDE集成。
JavaScript
22.3K
5分
Context7
Context7 MCP是一個為AI編程助手提供即時、版本特定文檔和代碼示例的服務,通過Model Context Protocol直接集成到提示中,解決LLM使用過時信息的問題。
TypeScript
89.5K
4.7分