审计

workspace-surface-audit 是一個唯讀的稽核技能，用來檢查目前工作區與機器現在能做什麼。它會檢視 repo、MCP servers、plugins、connectors、env surfaces 與 harness 設定，然後推薦最適合 Workflow Automation 的 ECC-native skills、hooks、agents 和 workflows。

security-bounty-hunter 協助你在程式庫中找出有獎金價值的弱點，重點放在可遠端觸及、由使用者可控制、且很可能通過初步篩選的問題。當你需要的是可實際提交的發現，而不是只會在本機出現、噪音很高的疑慮時，這個技能很適合用於 Security Audit 工作。

repo-scan 是一個跨技術棧的原始碼稽核 skill，可分類檔案、偵測內嵌的第三方函式庫，並協助判斷哪些是核心、重複或多餘負擔。它很適合用於 Code Review、舊系統遷移與重構規劃中的 repo-scan。請參閱 skill 內的 repo-scan 安裝與 repo-scan 使用說明。

quality-nonconformance 是一項適用於受管制製造業的技能，涵蓋 NCR 收件、根因分析、CAPA、SPC 解讀與最終處置。適合用於 Compliance Review、供應商品質問題，以及需要可追溯性、風險判斷與可供稽核的決策場景。

product-lens 是一個用來在開發前先驗證「為什麼要做」的決策支援技能，幫助你壓測產品方向，並把模糊需求轉成更清楚的簡報。當你需要快速做產品診斷，而不是完整規格，並且想在進入工程規劃前先得到更明確的 go/no-go 判斷時，就適合使用 product-lens。

healthcare-phi-compliance 可協助檢視醫療應用在資料模型、API、log 與存取路徑中的 PHI/PII 風險。可用來檢查資料分類、存取控制、加密、稽核軌跡，以及符合 HIPAA、DISHA、GDPR 與相關安全稽核需求的常見洩漏向量。

ecc-tools-cost-audit 是一個以證據為先的稽核技能，專門用來查找 ECC Tools 的成本飆升、PR 失控建立、配額繞過、premium-model 外洩，以及重複工作。適合用於 Backend Development 的調查，能把請求從 webhook 一路追到 worker 與 billing decision，並證明費用究竟是在哪一步產生的。

click-path-audit 技能可協助沿著每一次狀態變更追蹤 UI handlers，找出重構後或 code review 時容易漏掉的流程 bug、共享狀態衝突，以及最終狀態不一致等問題。

automation-audit-ops 是一個以證據為先的自動化盤點與重疊稽核技能，適用於 Workflow Automation。可用來在著手修正前，先找出哪些 jobs、hooks、connectors、MCP servers 或 wrappers 正在運作、已損壞、重複，或是缺漏。

cso 是一款給代理使用、偏向 Chief Security Officer 風格的安全稽核技能。它可協助檢視程式碼庫與工作流程中的機密外洩、相依套件與供應鏈風險、CI/CD 安全，以及 LLM/AI 安全，並採用 OWASP Top 10 與 STRIDE。適合用 cso 來進行結構化的 Security Audit 檢視，搭配信心門檻、主動驗證與趨勢追蹤。

design-review 是一個以 UX 為導向的設計 QA 技能，用來稽核線上介面，找出間距、層級、視覺一致性與互動問題，再透過驗證反覆修正。它支援在實作前先進行 plan-mode 檢視，適合你需要一份能對應具體原始碼變更的 design-review 指南，而不是空泛建議的情境。

accessibility-compliance 技能可協助團隊依據實務可行的 WCAG 2.2、ARIA、鍵盤操作、螢幕閱讀器與行動裝置無障礙指引，稽核並改善網站或行動應用程式的 UI。特別適合用於 UX 稽核、元件修正，以及可直接落地的實作建議。

security-requirement-extraction 可將威脅模型與業務情境轉化為可驗證的安全需求、使用者故事、驗收標準，以及可直接納入需求規劃待辦的產出。

stride-analysis-patterns 可協助代理對架構、API 與資料流程執行結構化的 STRIDE 威脅建模檢視。可從 wshobson/agents repo 安裝，閱讀 SKILL.md，並用它把系統描述整理成分類明確的威脅與以控制措施為核心的審查輸出。

threat-mitigation-mapping 技能可協助將已識別的威脅對應到跨層的預防、偵測與矯正控制措施，支援縱深防禦、修補規劃與控制覆蓋檢視。

使用 pci-compliance skill 協助進行 PCI DSS 架構審查、範圍縮減、缺口分析，以及支付資料處理決策。特別適合設計支付流程、準備稽核評估，或在正式合規審查前先檢視控制措施的團隊。

gdpr-data-handling 技能可協助團隊把 GDPR 要求轉化為實務上的審查指引，涵蓋同意管理、合法依據判定、資料當事人權利、資料保存期限，以及隱私保護設計相關決策。

wcag-audit-patterns 是一套結構化的 WCAG 2.2 無障礙稽核 skill，適合用於 accessibility review。你可以用它整合自動化偵測結果與人工檢查，依嚴重程度與符合等級排定問題優先順序，並為頁面、流程與元件產出可執行的修正建議。

ai-prompt-engineering-safety-review 是一項提示詞稽核技能，可在正式上線、評估或面向客戶使用前，檢查 LLM 提示詞的安全性、偏誤、資安弱點與輸出品質。

agent-governance 是一個以文件為核心的技能，適合用來設計 AI agent 的防護欄、政策檢查、信任規則、工具限制，以及供工具使用型與多代理系統採用的稽核記錄機制。

seo-audit 是一個結構化的 SEO 檢視技能，用於診斷可爬取性、索引狀態、技術面、頁面內優化與內容相關問題。它可協助代理先確認網站背景脈絡、依照清楚的稽核順序執行、避免提出缺乏依據的 schema 判斷，並將發現整理成有優先順序的行動計畫。

page-cro 是一款用於檢視行銷頁面並找出實用轉換優化方向的 CRO 技能。可用來分析 landing page、pricing page、homepage、feature page 與 blog page，並根據目標、流量來源、受眾與轉換阻礙提供清楚建議。內容包含安裝指引、工作流程建議、提示詞範例，以及以實驗為核心的使用方式。

free-tool-strategy 可協助 Product Marketing 與成長團隊評估是否要打造免費行銷工具，比較 calculators、graders、analyzers 或 generators 等類型，並釐清 MVP 範圍、gating 設計與實作取捨。內容也涵蓋以 repo 為基礎的安裝脈絡、關鍵檔案與實際使用建議。

form-cro 是一個用於稽核與優化非註冊類表單的 skill，適用於名單蒐集、聯絡、預約 demo、申請、問卷、報價與類結帳表單。它可協助團隊降低欄位摩擦、診斷中途放棄原因，並依據 repo 內的指引、eval 範例與清楚的安裝及使用路徑來重整表單。