全面的 Android APK 安全审计,包括静态分析、动态检测、源到接收器跟踪、IPC/组件滥用分析和 CVSS 4.0 报告。涵盖反编译、清单分析、深层链接和意图注入、秘密检测、加密分析、Frida/Objection 集成和 APK 重新打包。当用户说“审核 APK”、“分析 Android 应用程序”、“移动渗透测试”、“APK 安全”、“反编译 APK”、“Android 漏洞评估”、“逆向工程 Android”、“修改 APK”、“意图注入”、“深层链接滥用”、“绕过 SSL 固定”、“绕过 root 检测”或提供 APK 进行安全审查、反编译 Android 源或解码资源时使用。
手动运行仲裁审计 - 触发共识审查、重新运行失败的审计、测试审计提示或强制特定的提供程序。当基于钩子的自动触发器未触发或您需要显式控制时使用。触发“运行审核”、“再次审核”、“检查我的代码”、“检查证据”。
构建软件时应用架构护栏。运行入门调查问卷以确定项目的级别,然后在编写代码时强制执行适合该级别的安全性、可靠性和最佳实践规则。
当用户要求对项目或组件进行错误审核时使用
后端专家 — 构建 API、数据库操作、身份验证和服务器端逻辑,重点关注安全性和性能
Aztec 智能合约开发、Noir 编程、测试、部署和 TypeScript 集成。在处理 Aztec 合同、注释、私有状态或任何 Aztec SDK 代码时使用。使用审查合同进行安全审查。
Security scanner for AI Agent skills, plugins, and MCP servers. Use when: user asks to scan a skill, check if a plugin is safe, vet an MCP server, review skill security, detect malicious code, supply chain safety, or says 'is this safe to install', 'scan this skill', 'check this MCP server', 'security scan', 'vetting', 'skill safety', 'prism scan', '安全扫描', '这个插件安全吗', '扫描一下', '检查安全性', '安装前检查', '技能审查'.
完整的错误赏金工作流程 - 侦察(子域枚举、资产发现、指纹识别、HackerOne 范围、源代码审计)、预搜索学习(披露的报告、技术堆栈研究、思维导图、威胁建模)、漏洞搜索(IDOR、SSRF、XSS、身份验证绕过、CSRF、竞争条件、SQLi、XXE、文件上传、业务逻辑、GraphQL、HTTP 走私、缓存中毒、OAuth、计时侧通道、OIDC、 SSTI、子域接管、云错误配置、ATO 链、代理 AI)、LLM/AI 安全测试(聊天机器人 IDOR、提示注入、间接注入、ASCII 走私、exfil 通道、通过代码工具的 RCE、系统提示提取、ASI01-ASI10)、A-B 错误链(IDOR→身份验证绕过、SSRF→云元数据、XSS→ATO、开放重定向→OAuth 盗窃、 S3→bundle→secret→OAuth)、绕过表(SSRF IP绕过、开放重定向绕过、文件上传绕过)、特定语言的grep(JS原型污染、Python pickle、PHP 类型杂耍、Go template.HTML、Ruby YAML.load、Rust unwrap)和报告(7 个问题门、4 个验证门、人性化写作、漏洞类模板、CVSS 3.1、PoC 生成、始终拒绝列表、条件链表、提交检查表)。 用于任何错误赏金任务 - 启动新目标、进行侦察、寻找特定漏洞、审核源代码、测试人工智能功能、验证发现或撰写报告。
产生一个审计子代理,根据存储库中的证据来验证事件报告中的每项事实主张。在起草或实质性编辑报告后使用。
通过多区域、cron、警报和安全扫描来构建、部署和管理周一代码应用程序。当用户说“部署我的应用程序”、“推送到星期一代码”、“部署到星期一”、“检查部署状态”、“设置环境变量”、“推送我的应用程序”、“部署后端”、“部署前端”或想要升级应用程序版本时使用。
AEO(答案引擎优化/AI 可见性)审核技能。检查 4 个类别:AI 机器人访问(robots.txt、GPTBot、ClaudeBot)、结构化数据(Schema.org/JSON-LD)、内容结构和技术因素(HTTPS、站点地图、llms.txt)。根据投资回报率排名的建议进行 0-100 分的评分,并生成可打印的 HTML/PDF 报告。
运行 AEO 审核、修复站点问题、验证架构、生成 llms.txt 并比较站点。
skill-sample/ ├─ SKILL.md ⭐ 必备:技能说明入口:用途 / 安装 / 用法 / 示例 / 依赖 ├─ manifest.sample.json ⭐ 推荐:机器可读元信息:用于索引 / 校验 / 自动填表 ├─ LICENSE.sample ⭐ 推荐:授权与使用范围:开源 / 限制 / 商用说明 ├─ scripts/ │ └─ example-run.py ✅ 可运行示例脚本:让用户导入后立刻验证“能用” ├─ assets/ │ ├─ example-formatting-guide.md 🧩 输出规范:统一排版 / 结构 / 风格 │ └─ example-template.tex 🧩 模板资源:报告/文档模板,快速生成标准产物 └─ references/ 🧩 参考资料库:方法论 / 结构指南 / 最佳实践 ├─ example-ref-structure.md 🧩 结构参考:章节框架 / 目录组织 ├─ example-ref-analysis.md 🧩 分析参考:常用套路 / 指标口径 └─ example-ref-visuals.md 🧩 视觉参考:图表规范 / 可视化建议
更多 Agent Skills 规范 详见Anthropic官方文档:https://agentskills.io/home
├─ ⭐ 必备:YAML Frontmatter(必须存在,放在文件最顶部) │ ├─ ⭐ name :技能唯一名;须符合命名规则,并建议与目录名一致 │ └─ ⭐ description :技能描述;建议包含触发关键词(便于检索/匹配) │ ├─ ✅ 可选:Frontmatter 扩展字段(规范允许,但非强制) │ ├─ ✅ license :许可证标识(也可配合单独 LICENSE 文件) │ ├─ ✅ compatibility :兼容性/运行环境要求(仅在确实有限制时写) │ ├─ ✅ metadata :任意键值对(如 author/version/source_url 等) │ └─ 🧩 allowed-tools :允许工具白名单(规范标注为 experimental) │ └─ ✅ 推荐:Markdown 正文(自由格式,但建议按“渐进式披露”组织) ├─ ✅ Overview / Purpose :一句话说明目标 + 不做什么(边界) ├─ ✅ When to use :触发条件/适用场景(让模型/用户知道何时调用) ├─ ✅ Step-by-step :步骤化流程(最好 3–6 步,保证可复现) ├─ ✅ Inputs / Outputs :输入格式、输出格式、产物位置(文件/文本/JSON等) ├─ ✅ Examples :至少 1 个可复制示例(越“能跑”越好) ├─ 🧩 Files & References :引用assets/、references/、scripts/(相对路径) ├─ 🧩 Edge cases :边界情况/限制(大文件、速率限制、失败回退) ├─ 🧩 Troubleshooting :常见错误与解决(依赖缺失、路径不对、权限问题) └─ 🧩 Safety notes :涉及联网/写文件/执行命令时给出提醒(建议写)
在 GitHub 和各类社区里,技能文件分散、难检索、也难判断是否可靠。SkillWink 把开源技能集中整理成可搜索、可筛选、可直接下载使用的技能库,让你更快找到“正好能用”的那一个。并且支持在SkillWink上直接上传skills。
我们提供 AI 语义搜索 + 关键字检索,支持 版本更新与多维排序(下载/点赞/评论/更新),并为每个技能提供 SKILL.md 开放标准与来源信息。你还可以在详情页直接 评论讨论、交流用法与改进建议。
快速上手:
支持下载与导入 skills(.zip/.skill),本地放置后即可生效:
~/.claude/skills/(Claude Code)
~/.codex/skills/(Codex CLI)
~/.gemini/skills/(Gemini CLI)
同一份 SKILL.md 跨平台通用。
你需要了解的:技能是什么、怎么运行的、怎么找、怎么导入、怎么判断可信、怎么参与共建。
这里的“skills(技能)”是一种可复用的任务能力包,通常包含 SKILL.md 说明(用途、输入输出、使用方法)以及可选的脚本/模板/示例文件。
你可以把它理解为:给 AI 助手或工具链用的“插件说明书 + 资源包”,可被反复安装与分享。
技能系统采用“渐进式披露”策略,高效管理上下文信息,具体流程如下:
发现阶段:系统启动时,智能体仅加载各技能的名称与简要描述——信息精简,足以判断其适用场景,避免冗余加载。
激活阶段:当任务需求与某技能描述匹配时,智能体才将对应的完整 SKILL.md 说明文档动态载入上下文。
执行阶段:智能体严格遵循文档指引执行操作,并按需调用关联文件或运行内置代码模块。
核心优势:该设计使智能体始终保持轻量高效,同时具备“按需扩展上下文”的能力,既保障响应速度,又确保复杂任务拥有充分执行依据。
推荐 3 种方式组合使用:
注:以上导入方式文件大小控制在10M之内。
常见路径如下(不同系统略有差异,以你本机为准):
同一份 SKILL.md 通常可以跨工具复用。你在 SkillWink 导入后,也可以查看“放置指引/安装说明”。
可以。很多技能本质是标准化说明 + 资源,只要目标工具支持读取该格式,就能共享使用。
比如:检索类技能 + 写作类技能 + 自动化脚本,形成“发现 → 处理 → 输出”的工作流。
一部分skills来源于公开的 GitHub 仓库。我们会筛掉低质量仓库(至少 2 星),并扫描基本质量指标,还有一部分是SkillWink平台的创作者独立上传的。作为使用者,在安装前应始终审查代码,对安全问题负责。
最常见原因是这几类:
我们会尽量避免。你可以用 排序 + 评论 让“好用的”更靠前:
