首页 / AI Trending / tech-leads-club/agent-skills

agent-skills 是什么?

agent-skills(tech-leads-club)是一个主打「安全、经验证」的 AI 编码 agent skill 注册表 + npm CLI:用 npx @tech-leads-club/agent-skills 交互式向导把人工策展、过 Snyk Agent Scan 安全扫描、带 lockfile 内容哈希校验的 skill 装进 Claude Code、Cursor、Copilot、Antigravity 等 18 个 agent,CLI 自带 sanitization、路径隔离、symlink 守卫、审计日志等纵深防御。

⭐ 4,389 Stars 🍴 373 Forks TypeScript NOASSERTION 作者: tech-leads-club
来源:README 首段 + Security & Trust + Supported Agents + Quick Start 查看 GitHub 仓库 →

为什么值得关注

agent skill / 插件生态爆发后,安全成了被忽视的暗面——README 引用 Snyk 报告称「超 13% 的 marketplace skill 含严重漏洞」。tech-leads-club/agent-skills 的差异化就是把「安全验证」做成第一卖点:每个 skill 发布前过 Snyk Agent Scan(前身 mcp-scan)、CI/CD 跑静态分析、用 lockfile + 内容哈希保证不可篡改、prompt 人工审核、100% 开源无二进制;CLI 本身做纵深防御(输入净化、路径隔离、symlink 守卫、原子 lockfile、审计轨迹)。再加上覆盖 18 个 agent(三档:Claude Code/Cursor/Copilot/Windsurf 等热门 + Antigravity/Gemini CLI/Codex 等新秀 + Amazon Q/Cody/Tabnine 等企业)、npm 一行安装、Nx monorepo 工程化。在「skill 来源可信吗」越来越被关注的当下,它把自己定位成「可放心用的硬化 skill 库」,是这条线上差异化清晰的实现。

来源:README Security & Trust(13.4% 漏洞)+ Supported Agents + npm 徽章

核心功能

安全验证流水线(Snyk 扫描 + 静态分析 + 哈希校验)

每个 skill 发布前用 Snyk Agent Scan(原 mcp-scan)扫描;CI/CD 跑静态分析;用 lockfile + 内容哈希保证 immutable integrity;prompt 经人工审核;100% 开源无二进制。这套「发布前安全门禁」是与开放 marketplace 的根本区别。

来源:README 'Security & Trust' + SECURITY.md
纵深防御 CLI

npx @tech-leads-club/agent-skills CLI 自带 defense-in-depth:输入 sanitization、路径隔离、symlink 守卫、原子 lockfile、审计轨迹(agent-skills audit 查日志)。安装/更新/移除都受 lockfile 保护,--force 才能绕过。

来源:README 'Security & Trust' + CLI Options(audit log / lockfile)
交互式向导 + 丰富 CLI 命令

交互模式选「安装/更新 skill」;命令式支持 list、装单个/多个 skill、装到指定 agent、一次装多 skill 到多 agent、全局安装(~/.claude、~/.gemini 等)、symlink 替代 copy、强制重下绕过缓存、update 单个/全部、remove、缓存管理、audit 查日志、credits 看贡献者。

来源:README Quick Start / CLI Options
18 个 agent 三档覆盖

Tier 1 热门:Claude Code、Cline、Cursor、GitHub Copilot、Windsurf;Tier 2 新秀:Aider、Antigravity、Gemini CLI、Kilo Code、Kiro、OpenAI Codex、Roo Code、TRAE;Tier 3 企业:Amazon Q、Augment、Droid(Factory.ai)、OpenCode、Sourcegraph Cody、Tabnine。一份 skill 可装到多个 agent。

来源:README 'Supported Agents' 三档表
分类 skill catalog

packages/skills-catalog/skills/(category)/skill/ 结构,每个 skill 含 SKILL.md(主指令)+ templates/(文件模板)+ references/(按需文档)。精选包括 tlc-spec-driven(Specify→Design→Tasks→Implement 四阶段规划 + 跨会话持久记忆)、aws-advisor、playwright-skill、figma 设计转代码、security-best-practices 等。

来源:README 'What are Skills' / 'Featured Skills'
Nx monorepo 工程化

用 Nx 管理的 TypeScript monorepo:packages/(1106 文件,含 skills-catalog 和 CLI)+ libs/(69)+ tools/,配 Jest 测试、ESLint、Prettier、release.yml CI。CLI 与 skills-catalog 分别版本化(CLI v1.4.7 / skills-catalog v0.14.3)。

来源:tree(nx.json/packages/libs/tools)+ package.json + releases

技术架构

项目是 Nx 管理的 TypeScript monorepo,两大产物分离:packages/skills-catalog/(skill 内容本体,按 (category)/skill/SKILL.md+templates/+references/ 组织)和 CLI(npm 包 @tech-leads-club/agent-skills,负责安装编排与安全防护),加上 libs/(共享库)和 tools/。运行流程:用户 npx 跑 CLI → 交互或命令式选 skill 和目标 agent → CLI 从注册表取 skill(带缓存)、做内容哈希校验、按各 agent 的目录约定(~/.claude、~/.cursor 等)安装、写 lockfile、记审计日志。安全是贯穿设计的主线:发布侧有 Snyk 扫描 + CI 静态分析 + 内容哈希 immutable,安装侧有 sanitization + 路径隔离 + symlink 守卫 + 原子 lockfile。设计判断:把「skill 内容」「分发 CLI」「安全验证」三层清晰分开,并把安全做成发布门禁 + 运行时纵深防御的双层,是这个项目相对其它 skill marketplace 的核心差异;CLI 与 catalog 独立版本化也合理。需要客观看待的是:安全声明(如「13.4% 漏洞」「过 Snyk 扫描」)是项目的营销主轴,扫描能力的实际覆盖度和误报率外部难以验证,「safe」更多是相对开放 marketplace 的相对安全而非绝对保证。

来源:tree + package.json + README Security/How It Works

项目知识图谱

知识图谱:项目核心节点(中心)+ 核心功能(内环六边形)+ 关键技术依赖(外环 chip) Nx — monorepo 构建编排Nx Snyk Agent Scan(原 mcp-scan)— skill 安全扫描Snyk Agent Sca… Jest — 测试;ESLint + Prettier — 质量Jest lockfile + 内容哈希 — 完整性校验lockfile + 内… 各 agent 目录约定(~/.claude、~/.cursor、~/.gemini 等)各 agent 目录约… 安全验证流水线(Snyk 扫描 + 静态分析 + 哈希校验)安全验证流水线(Snyk… 纵深防御 CLI 交互式向导 + 丰富 CLI 命令交互式向导 + 丰富 CLI… 18 个 agent 三档覆盖 分类 skill catalog Nx monorepo 工程化 agent-skills 项目本体 核心功能 关键依赖

中心为项目本体,内环 = 核心功能模块,外环 = 关键技术依赖;按 deep.json 中的 core_features 与 tech_stack.key_deps 自动生成

技术栈

语言TypeScript(CLI + 工具)+ Markdown(skill 内容 SKILL.md)框架Nx monorepo + npm CLI 分发;Claude Code/Cursor 等多 agent 的 skill/plugin 规范
关键依赖
NxSnyk Agent Scan(原 mcp-scan)— skill 安…Jestlockfile + 内容哈希各 agent 目录约定(~/.claude、~/.cursor、~/.…
基础设施 / 部署
npm 分发(@tech-leads-club/agent-skills),npx 即用;CI release.yml 自动发版;CLI 与 skills-catalog 独立版本化;NOASSERTION(自定义)协议;文档站 tech-leads-club.github.io/agent-skills;本地缓存 + 审计日志
来源:package.json + tree + README

快速上手

# 交互式向导(默认) npx @tech-leads-club/agent-skills # 列出可用 skill npx @tech-leads-club/agent-skills list # 装单个 / 多个 skill npx @tech-leads-club/agent-skills add npx @tech-leads-club/agent-skills add # 装到指定 agent / 多 agent npx @tech-leads-club/agent-skills add --agent claude,cursor # 全局安装(~/.claude、~/.gemini 等) npx @tech-leads-club/agent-skills add --global # 更新 / 移除 / 审计 npx @tech-leads-club/agent-skills update --all npx @tech-leads-club/agent-skills remove npx @tech-leads-club/agent-skills audit # 查审计日志 # 可选全局安装 CLI 后用 agent-skills 命令 # 具体子命令以 README CLI Options 为准
来源:README Quick Start / CLI Options 原文

使用场景

1. 对 skill 来源安全敏感的团队/个人:在「13% marketplace skill 有严重漏洞」的背景下,用经 Snyk 扫描 + 哈希校验的硬化 skill 库,而非随便从开放市场装;2. 多 agent 团队统一 skill:一份 skill 用同一 CLI 装到 Claude Code/Cursor/Copilot/Windsurf 等 18 个 agent,团队不论用哪个都一致;3. 用精选高质 skill:tlc-spec-driven 做四阶段规划、aws-advisor 做云架构、playwright-skill 做浏览器自动化、figma 做设计转代码、security-best-practices 做安全评审;4. 企业合规场景:审计日志 + lockfile + 内容哈希满足「装了什么、是否被改」的可追溯需求;5. CI/脚本化管理 skill:用命令式 add/update/remove + --global/--agent 把 skill 安装纳入团队 onboarding 脚本。

来源:README Security / Supported Agents / Featured Skills / CLI

优势与局限

优势

  • 差异化清晰且切中痛点:把「安全验证」做成第一卖点,发布侧 Snyk 扫描 + CI 静态分析 + 内容哈希、安装侧纵深防御 CLI,回应「skill 来源可信吗」这个真实但被忽视的问题
  • 多 agent 覆盖广:18 个 agent 三档(热门/新秀/企业),一份 skill 一个 CLI 装到多处,对混用多 agent 的团队价值高
  • CLI 功能完整且企业友好:交互向导 + 命令式 add/update/remove/list/audit、多 agent/全局/symlink/缓存控制,审计日志 + lockfile 满足可追溯与合规
  • 工程化扎实:Nx monorepo + TypeScript + Jest + ESLint/Prettier + release.yml CI,CLI 与 skills-catalog 独立版本化,100% 开源无二进制
  • skill 质量有策展:精选 skill(tlc-spec-driven 四阶段规划、aws-advisor、playwright、figma、security-best-practices)经人工审核,标准化 SKILL.md+templates+references 结构

局限

  • 安全声明的可验证性:「过 Snyk 扫描」「safe」是项目营销主轴,但扫描的实际覆盖度、误报漏报率、对 prompt 注入类风险的检出能力外部难以验证;「13.4% 漏洞」引用的是第三方报告,本库的「安全」是相对开放 marketplace 的相对安全,非绝对保证
  • 可维护性 / 中心化风险:skill 经人工策展 + 安全门禁才进库,准入由 tech-leads-club 单方把关,社区 skill 进入有门槛与延迟;catalog 规模相对 claude-plugins-official(203)等更小
  • 可扩展性风险:18 个 agent 的目录约定各不相同,新 agent 或某 agent 改 skill 加载机制都要 CLI 跟进适配,维护面随支持的 agent 数增长
  • 可测试性局限:skill 的「质量/有效性」本质主观,Jest 主要测 CLI 逻辑而非 skill 内容效果;安全扫描结果未公开每个 skill 的具体报告,外部只能信任流程
  • 稳定性 / 版本复杂度:CLI 与 skills-catalog 双版本线(v1.4.7 / v0.14.3)+ NOASSERTION 自定义协议,使用与二次分发前需看清各自版本与许可条款
  • 生态规模与锁定:作为相对小众的策展库,skill 数量和更新活跃度依赖 tech-leads-club 社区投入;CLI 是专有安装入口,迁移到其它 skill 源需另做
来源:综合 README + tree + package.json + releases

最新版本

双版本线:CLI 最新 v1.4.7(2026-04-20),skills-catalog 最新 skills-catalog-v0.14.3(2026-04-28)。两者独立打 tag、独立演进(CLI 管安装逻辑、catalog 管 skill 内容)。仓库 pushed 到 2026-05-21 仍活跃,NOASSERTION 自定义协议。

来源:GitHub Releases API(skills-catalog-v0.14.3 / v1.4.7 / skills-catalog-v0.14.2)

总结评价

如果你在意「agent skill 来源是否安全」,agent-skills(tech-leads-club)是目前差异化最清晰的选择:安全验证做成第一卖点,发布侧 Snyk 扫描 + 内容哈希、安装侧纵深防御 CLI、覆盖 18 个 agent。务实建议:1) 它的核心价值是相对开放 marketplace 更可信的策展 + 安全门禁,但别把「过 Snyk 扫描」当绝对安全——扫描覆盖度和对 prompt 注入的检出外部无法验证,敏感环境仍要自己审 SKILL.md 内容;2) 多 agent 团队用它统一安装很合适,audit 日志 + lockfile 对合规可追溯有用;3) catalog 规模比 Anthropic 官方目录小,先 list 看有没有你要的 skill,精选的(tlc-spec-driven/aws-advisor/playwright/figma/security-best-practices)质量较高;4) 注意 CLI 与 catalog 双版本线 + NOASSERTION 自定义协议,二次分发前看清许可;5) 它是专有安装入口,团队采用前确认愿意把 skill 管理绑定到这个 CLI。

来源:综合分析
透明度声明
本页内容由 AI(大语言模型)基于以下公开材料自动生成:GitHub README、代码目录结构、依赖文件、Release 信息。 分析时间: 2026-05-22 10:01. 质量评分: 100/100.

数据来源:README、GitHub API、依赖文件