每当用户提及 IP 地理定位源、RFC 8805、地理源,或需要帮助创建、调整、验证或发布 CSV 格式的自行发布的 IP 地理定位源时,请使用此技能。目标用户受众是网络运营商、ISP、移动运营商、云提供商、托管公司、IXP 或卫星提供商,询问 IP 地理定位准确性或 geofeed 创作最佳实践。通过超出 RFC 8805 合规性的固执己见的建议,帮助创建、完善和改进 CSV 格式的 IP 地理定位源。请勿用于私有或内部 IP 地址管理 — 仅适用于公共可路由 IP 地址。
适用于 Solidity 智能合约的人工智能优先安全审计员。 4 阶段管道(侦察 → 检测 → 状态分析 → 验证),具有 101 个启发式、15 个检测模块和 8 个杀伤门。经过 50 次盲目影子审核,测试精度为 100%。
从框架、屏幕截图、URL 或描述构建生产质量的 Figma 组件。将所有值绑定到设计令牌、检测子组件、审核令牌间隙、连接交互状态并提出变体。最后建议/fig-qa。
当用户询问“API设计规则”、“ADR”、“REST API标准”、“API指南”、“NL GOV API”、“Spectral linter”、“API linter”、“OpenAPI验证”、“API设计”、“REST API命名”、“传输安全”、“API签名”、“API加密”、“地理空间API”、“api-linter”时,请使用此技能'问题+json','错误响应格式'。
漏洞赏金猎人专项技能包。当用户进行漏洞赏金测试、安全研究、挖洞时自动激活。包含:逻辑漏洞测试方法论、信息泄露检测技巧、WAF绕过策略、历史目标经验库、各技术栈漏洞特征。每次使用后自动学习成长。
在更改之前或之后根据回购实际情况审核文档。
通过 Playwright 使用 axe-core 运行运行时可访问性审核并查看结果
通过 Bitbond TokenTool MCP(17 个工具)在 10 个区块链网络上部署和管理合规代币。当用户要求部署代币、创建 ERC-20、发行安全代币、代币化资产、铸造代币、销毁代币、暂停代币传输、在 Solana 上创建 SPL 代币、发行 Stellar 资产、估计部署成本、检查代币信息、列出已部署代币、设置白名单或黑名单合规性、管理白名单/黑名单地址、检查合规状态或管理代币生命周期时使用。通过 CertiK 审核的合约支持 EVM 链、Solana 和 Stellar。
当用户要求系统错误分析或任何重点审计(例如“api审计”、“auditcodex”、“缓存审计”、“灾难恢复”、“错误审查”、“功能标志审计”、“集成安全”、“可观察性审计”、“队列审计”、“发布规则”、“序列化审计”、“会话审计”、“技术债务”、“租户隔离”、“测试审查”、“上传”时,必须调用此技能)安全”、“ai 代码审核”、“死代码”、任何安全漏洞扫描,例如“sql 注入”、“xss”、“rce”、“ssrf”、“xxe”、“访问控制”、“路径遍历”、“文件上传”、“ssti”、“graphql 注入”、“业务逻辑”、“缺少身份验证”或“安全侦察”,或完整的安全扫描,例如“güvenlik” taraması”、“安全扫描”、“全面安全扫描”、“运行所有安全扫描”或“安全扫描”。 使用“/bug-report”进行一般扫描,使用“/bug-report <subcommand>”进行特定于域的审核,使用“/bug-report security-sweep”并行运行所有安全扫描。所有模式都使用共享报告合约将经过验证的发现写入 BUG-REPORT.md。
PR 的结构化代码审查方法。优先考虑正确性,标记常见的反模式,执行范围规则,检查测试覆盖率,并提供可操作的反馈。与语言无关。 --- ## 技能:代码审阅者 您正在运行代码审阅者技能。对您审核的每个 PR 应用结构化、基于证据的审核方法。 ### 审核优先顺序 按此顺序审核。如果较高的优先级是干净的,则停止阻塞较低的优先级。 1. **正确性** — 它是否解决了所述问题?它会破坏现有的行为吗? 2. **安全性** — 注入、身份验证问题、秘密暴露 3. **可靠性** — 错误处理、故障模式、边缘情况 4. **性能** — N+1 模式、不必要的分配、算法复杂性 5. **可维护性** — 可读性、命名、模式一致性 6. **样式** — 格式、约定(永远不会单独阻止样式) ### 标记的常见模式 #### 无声错误吞噬 - 空 `catch`/` except`/`rescue` 块或仅记录并继续的块 - 忽略易错操作的返回值 - 抑制错误:`|| true`, `2>/dev/null`, bare ` except: pass`, `_ = err` #### N+1 和循环效率低下 - API 调用、数据库查询或循环内的文件读取 - 缺少急切加载/批处理操作(例如,`prefetch_lated`、`include`、`DataLoader`、`JOIN`、批处理 API 调用) - 重复的昂贵计算,可以从循环中提升 #### 竞争条件 - 共享从没有防护的异步或并发上下文访问可变状态 - 无原子性的先检查后执行模式 (TOCTOU) - 并发数据访问时缺少锁、互斥体或原子操作 #### 边界问题 - 缺少信任边界处的输入验证 (用户输入、API 响应) - 没有运行时检查的不安全类型转换或断言 - 范围、切片或索引操作中的差一错误 #### 向后兼容性 - 重命名或删除公共 API,而无需迁移路径 - 更改了破坏现有功能的函数签名
通过本地 Camoufox 浏览器运行时来操作网站,包括持久会话、检查/查询/操作流程、事件检查、经过身份验证的获取和下载处理。
用于编写 HyperFleet 适配器配置的交互式助手(AdapterConfig + AdapterTaskConfig YAML 文件)
skill-sample/ ├─ SKILL.md ⭐ 必备:技能说明入口:用途 / 安装 / 用法 / 示例 / 依赖 ├─ manifest.sample.json ⭐ 推荐:机器可读元信息:用于索引 / 校验 / 自动填表 ├─ LICENSE.sample ⭐ 推荐:授权与使用范围:开源 / 限制 / 商用说明 ├─ scripts/ │ └─ example-run.py ✅ 可运行示例脚本:让用户导入后立刻验证“能用” ├─ assets/ │ ├─ example-formatting-guide.md 🧩 输出规范:统一排版 / 结构 / 风格 │ └─ example-template.tex 🧩 模板资源:报告/文档模板,快速生成标准产物 └─ references/ 🧩 参考资料库:方法论 / 结构指南 / 最佳实践 ├─ example-ref-structure.md 🧩 结构参考:章节框架 / 目录组织 ├─ example-ref-analysis.md 🧩 分析参考:常用套路 / 指标口径 └─ example-ref-visuals.md 🧩 视觉参考:图表规范 / 可视化建议
更多 Agent Skills 规范 详见Anthropic官方文档:https://agentskills.io/home
├─ ⭐ 必备:YAML Frontmatter(必须存在,放在文件最顶部) │ ├─ ⭐ name :技能唯一名;须符合命名规则,并建议与目录名一致 │ └─ ⭐ description :技能描述;建议包含触发关键词(便于检索/匹配) │ ├─ ✅ 可选:Frontmatter 扩展字段(规范允许,但非强制) │ ├─ ✅ license :许可证标识(也可配合单独 LICENSE 文件) │ ├─ ✅ compatibility :兼容性/运行环境要求(仅在确实有限制时写) │ ├─ ✅ metadata :任意键值对(如 author/version/source_url 等) │ └─ 🧩 allowed-tools :允许工具白名单(规范标注为 experimental) │ └─ ✅ 推荐:Markdown 正文(自由格式,但建议按“渐进式披露”组织) ├─ ✅ Overview / Purpose :一句话说明目标 + 不做什么(边界) ├─ ✅ When to use :触发条件/适用场景(让模型/用户知道何时调用) ├─ ✅ Step-by-step :步骤化流程(最好 3–6 步,保证可复现) ├─ ✅ Inputs / Outputs :输入格式、输出格式、产物位置(文件/文本/JSON等) ├─ ✅ Examples :至少 1 个可复制示例(越“能跑”越好) ├─ 🧩 Files & References :引用assets/、references/、scripts/(相对路径) ├─ 🧩 Edge cases :边界情况/限制(大文件、速率限制、失败回退) ├─ 🧩 Troubleshooting :常见错误与解决(依赖缺失、路径不对、权限问题) └─ 🧩 Safety notes :涉及联网/写文件/执行命令时给出提醒(建议写)
在 GitHub 和各类社区里,技能文件分散、难检索、也难判断是否可靠。SkillWink 把开源技能集中整理成可搜索、可筛选、可直接下载使用的技能库,让你更快找到“正好能用”的那一个。并且支持在SkillWink上直接上传skills。
我们提供 AI 语义搜索 + 关键字检索,支持 版本更新与多维排序(下载/点赞/评论/更新),并为每个技能提供 SKILL.md 开放标准与来源信息。你还可以在详情页直接 评论讨论、交流用法与改进建议。
快速上手:
支持下载与导入 skills(.zip/.skill),本地放置后即可生效:
~/.claude/skills/(Claude Code)
~/.codex/skills/(Codex CLI)
~/.gemini/skills/(Gemini CLI)
同一份 SKILL.md 跨平台通用。
你需要了解的:技能是什么、怎么运行的、怎么找、怎么导入、怎么判断可信、怎么参与共建。
这里的“skills(技能)”是一种可复用的任务能力包,通常包含 SKILL.md 说明(用途、输入输出、使用方法)以及可选的脚本/模板/示例文件。
你可以把它理解为:给 AI 助手或工具链用的“插件说明书 + 资源包”,可被反复安装与分享。
技能系统采用“渐进式披露”策略,高效管理上下文信息,具体流程如下:
发现阶段:系统启动时,智能体仅加载各技能的名称与简要描述——信息精简,足以判断其适用场景,避免冗余加载。
激活阶段:当任务需求与某技能描述匹配时,智能体才将对应的完整 SKILL.md 说明文档动态载入上下文。
执行阶段:智能体严格遵循文档指引执行操作,并按需调用关联文件或运行内置代码模块。
核心优势:该设计使智能体始终保持轻量高效,同时具备“按需扩展上下文”的能力,既保障响应速度,又确保复杂任务拥有充分执行依据。
推荐 3 种方式组合使用:
注:以上导入方式文件大小控制在10M之内。
常见路径如下(不同系统略有差异,以你本机为准):
同一份 SKILL.md 通常可以跨工具复用。你在 SkillWink 导入后,也可以查看“放置指引/安装说明”。
可以。很多技能本质是标准化说明 + 资源,只要目标工具支持读取该格式,就能共享使用。
比如:检索类技能 + 写作类技能 + 自动化脚本,形成“发现 → 处理 → 输出”的工作流。
一部分skills来源于公开的 GitHub 仓库。我们会筛掉低质量仓库(至少 2 星),并扫描基本质量指标,还有一部分是SkillWink平台的创作者独立上传的。作为使用者,在安装前应始终审查代码,对安全问题负责。
最常见原因是这几类:
我们会尽量避免。你可以用 排序 + 评论 让“好用的”更靠前:
