“code review”相关技能

code-review 是一套用于代码变更在提交和部署前的强制性审查工作流。它帮助团队执行结构化的 /code-review 步骤，选择合适的 engine，并获得可执行的反馈，而不是泛泛的通过结论。非常适合用于合并前检查、发布候选版本，以及高风险重构。

requesting-code-review 是一个轻量级工作流，用于在合适的时机分派 `superpowers:code-reviewer` 子代理，并附上清晰的 git diff、需求说明和变更摘要，让代码评审在合并前产出可执行、按严重级别排序的反馈。

code-review-excellence 可帮助智能体在 pull request、导师辅导和团队评审规范等场景中产出更清晰、更具建设性的代码评审，提升问题优先级判断、评审语气把控与可执行反馈质量。

code-review 是一项由 CodeRabbit 提供支持的 AI 技能，用于审查已变更代码、PR、已暂存提交和 diff 范围。它能帮助发现 bug、安全问题和质量风险，并按严重程度归类结果，方便 agent 快速处理。适合需要结构化代码审查，而不是泛泛点评的场景。

receiving-code-review 可帮助你在改代码前先核实 PR 反馈。你可以用它复述 review 评论、对照代码库逐条验证、就不清楚的意见发起澄清，并在建议不适用时合理提出异议。

code-review-and-quality 是一项用于合并前评审的结构化技能，重点检查正确性、可读性、架构、安全性和性能。你可以从父仓库安装，阅读 `skills/code-review-and-quality/SKILL.md`，并结合 diff、任务上下文和测试结果使用，以支持更可靠的评审判断。

flutter-dart-code-review 是一个与库无关的 Flutter 和 Dart 代码审查清单，覆盖架构、Widget 质量、状态管理、性能、可访问性、安全性和整洁代码。它可作为结构化的 flutter-dart-code-review Code Review 指南，适用于 BLoC、Riverpod、Provider、GetX、MobX、Signals 或自定义模式。

code-reviewer 技能用于引导结构化的 PR 与 diff 审查，覆盖正确性、安全性、性能、测试与可维护性，并结合仓库参考资料和 checklist 脚本，让 Code Review 更一致、更可执行。

plan-eng-review 是一款交互式工程计划评审技能，帮助你在开始编码前，把架构、数据流、边界情况、测试覆盖、性能和上线风险逐一锁定。 当你已经有设计文档或实现计划，并希望得到比通用 review 提示更有针对性的反馈时，适合使用 plan-eng-review 技能。

用于预上线 PR review 的 review skill。可用来将 diff 与 base branch 对比，检查 SQL 安全、信任边界问题、shell 注入、enum 完整性以及其他结构性风险。适合需要一份 review 指南的场景，帮助 agent 更快识别真实缺陷，减少通用提示词带来的猜测成本。

github-pr-review 是一项用于 GitHub PR 审查的 skill，可收集行内评论、PR 级别的 review 正文和回复，并按严重程度整理反馈，帮助你优先修复阻塞项。可用于处理 PR 评论、回复审查者，并通过针对性提交和线程回复更新分支。它适用于带身份验证的 GitHub CLI 工作流中的 github-pr-review 指南。

autofix 可安全地将 CodeRabbit 的 PR review thread 反馈转化为当前 GitHub 分支上的已验证代码改动。当你需要面向分支、支持明确审批的 CodeRabbit Code Review 工作流，而不是一个通用的按提示修修补补工具时，就该使用这个 autofix skill。它会检查仓库状态、读取可信指令，并且只应用经过验证的修复。

differential-review 是一项面向安全的代码审查技能，适用于 PR、commit 和 diff。它结合基线历史、影响范围、测试覆盖率和结构化报告，帮助发现认证、加密、外部调用以及其他高风险路径中的回归问题。需要有证据支撑的结论时，可将 differential-review 用于 Code Review。

critique 是一款仅出报告的审查技能，使用多个专门裁判、辩论和共识机制来评估已完成的工作。它可用于 Code Review 中的 critique，以及在合并前检查正确性、质量和遗漏问题。将 critique 安装到 NeoLabHQ context-engineering-kit 中，并结合文件路径、提交记录或上下文使用。

code-reviewer 是一款用于结构化代码审查的 AI skill，遵循严格的审查顺序：security、performance、correctness、maintainability。它通过规则文件检查 SQL injection、XSS、N+1 queries、error handling、naming 和 type hints，让 PR 审查比通用 review prompt 更一致、更有章法。

gemini-review 是一款由 Gemini 驱动的代码审查技能，面向大型仓库和 PR。它使用 Gemini 2.5 Pro 和 1M token 上下文进行审查，从而减少分块、提升跨文件推理能力，并提供更适合 CI/CD 的反馈。

codex-review 是一个面向 OpenAI Codex CLI 代码审查的 GitHub 技能，结合 GPT-5.2-Codex 使用。它通过结构化发现、GitHub 原生审查流程以及适合 CI/CD 的使用方式，帮助团队发现 bug、安全问题和代码质量隐患。

subagent-driven-development 是一项用于执行实现计划的技能：为每个任务分配一个全新的 subagent，然后对每项结果进行两轮评审——先检查是否符合 spec，再评估代码质量。它内置了 implementer、spec reviewer 和 code quality reviewer 的提示词模板。

icpg 通过 ReasonNodes、正式契约和漂移检测，为代码理解增加一层“为什么”。当你在改代码前需要先弄清意图、归属和风险背景时，可用于代码评审、重构和任务前分析。

python-anti-patterns 是一份面向 Python 代码审查的检查清单，用于在合并前、重构中或调试时，提前发现分散重试、超时逻辑重复、隐藏复杂度等脆弱模式。

spec-to-code-compliance 用于核对代码是否与书面规范完全一致，适合区块链审计和 Compliance Review。使用 spec-to-code-compliance 技能，可以对照白皮书、设计文档和实现代码，找出缺失的行为，并标记未说明或存在偏差的逻辑。

python-code-style 用于处理 Python 格式化、lint、命名规范、类型提示和 docstring。适合用于 pull request 审查、统一团队编码约定，以及在 `pyproject.toml` 中配置 ruff、mypy 或 pyright 的使用规范。

subagent-driven-development 帮助你把实现计划拆分为独立任务，为每个任务派发一个全新的 subagent，并在各步骤之间审查结果。它适用于需要通过 agent 编排来更快交付、同时保留质量关卡的场景，尤其是 3 个及以上彼此独立的问题、bug 修复、功能切片或仓库清理。

code-reviewer 是一款轻量级的 Code Review 技能，可将代码或 diff 转换为结构化报告，覆盖 security、performance、best practices、严重级别、受影响的行或区段、修复建议，以及整体质量评分。

ai-first-engineering 是一种简洁的运营模型，适用于大量实现工作由 AI agent 生成的团队。它帮助团队为规划、架构、评审和测试建立 Agent Standards，并提供安装、使用以及适用场景的指引。

codex 是一个用于代码审查、对抗式挑战和咨询工作流的 OpenAI Codex CLI 封装技能。使用 `codex review` 做通过/失败式审查门禁，使用 `codex challenge` 对想法进行压力测试，并让 codex 在保留会话连续性的前提下继续推理、给出追问式分析。它最适合你手头有 diff 或明确问题的场景。

smart-explore 是一项面向代码结构探索的技能，会先用 `smart_search`、`smart_outline` 和 `smart_unfold` 对代码库建立结构化认知，再决定是否读取完整文件。它适合代码导航、定向调试，以及在具备 MCP 工具支持时用于 Code Review 场景下的 smart-explore。

shellcheck-configuration 可帮助你安装 ShellCheck、优化 `.shellcheckrc`，并在 bash、sh、dash 和 ksh 项目中为 CI 与 Code Review 落地 lint 策略。

multi-reviewer-patterns 可帮助智能体并行开展安全、性能、架构、测试与可访问性等多维度代码评审，去重问题、校准严重级别，并最终输出一份整合报告。内容涵盖安装背景、关键文件与实用使用建议。

java-coding-standards 技能为 Spring Boot 服务中的 Java 17+ 提供实用指南，涵盖命名、不可变性、Optional、streams、异常、generics 和包结构布局，帮助你编写更易读、易维护的代码。适用于编码、重构，以及用于 Code Review 的 java-coding-standards。

lesson-learned 会分析 Git diff 和近期提交，从真实代码变更中提炼软件工程经验。它会先加载 `se-principles.md`，再把变更映射到 SRP、DRY、KISS 等原则上，很适合用于复盘、PR 学习记录和 Code Review 后续总结。

investigate 技能用于指导对故障、偶发性问题或异常行为进行系统化排查和根因分析。适用于代码评审、事故分诊、缺陷修复，以及“昨天还好好的”这类场景——当你需要先拿到证据再改代码时，它尤其有用。它遵循四阶段工作流：investigate、analyze、hypothesize、implement。

commit-hygiene 技能帮助你把 Git 工作保持为原子化、可评审、且易于回滚的变更。它适用于确定 commit 边界、控制 PR 大小，以及判断是否需要 stacked PR。当变更集不断变大时，它是一份实用的 commit-hygiene 指南，可用于 Git 工作流。

frontend-design-review 是一个 GitHub skill，用于评审前端 UI 工作，并从零构建有辨识度、可直接用于生产的界面。它可以帮助判断设计系统是否一致、可访问性是否达标、视觉质量是否过关，以及一个界面是显得通用，还是具有明确设计意图。适用于 PR 评审、组件评审，以及用于 UI Design 的 frontend-design-review。

repo-scan 是一款跨技术栈的源码审计技能，可对文件进行分类、识别内嵌的第三方库，并帮助你判断哪些是核心代码、重复代码或无用负担。它适用于 repo-scan 代码审查、遗留系统迁移和重构规划。技能中提供了 repo-scan 安装与 repo-scan 使用指引。

naming-analyzer 可用于代码审查与重构，检查变量、函数、类、文件、数据库字段和 API 命名，标记含糊或易误导的标识符，并结合命名规范给出更清晰的替代建议。

gh-address-comments 可帮助你使用 gh CLI 处理当前分支对应的 GitHub 开放 PR 上的审查和问题评论。它会先验证 GitHub 认证，然后抓取评论和 review 线程、为其编号，并帮助你选择需要修复的条目。适合需要 gh-address-comments 指南以及 gh-address-comments 用于 PR Review 工作流的场景。

cpp-coding-standards 是一份基于 C++ Core Guidelines 的 C++ 编码规范指南。适合用于现代 C++ 的编写、审查和重构，重点关注安全性、清晰度、可维护性、RAII、类型安全和良好设计。非常适合用于 Code Review 中的 cpp-coding-standards，以及团队在实际场景中的决策参考。

gemini skill 可帮助智能体通过 Gemini CLI 进行代码评审、方案评审和大上下文分析。你可以了解何时值得安装此 skill、如何选择模型、怎样避免非交互式审批导致的卡住，以及如何在多文件评审中更安全地使用 Gemini 工作流。

api-design 是一款用于 REST API 设计的技能，帮助你规划和审查端点、资源命名、状态码、分页、过滤、版本管理和错误响应。

skill-comply 是一款合规测试技能，用于在真实运行中检查 agent 是否遵循某个 skill、规则或 agent 定义。它会从 markdown 生成规范，运行三档 prompt 严格度，分类工具调用时间线，并基于证据输出合规率。适合用于 skill-comply 的合规审查。

tweet-draft-reviewer 在 Claude Code 中按 8 条语气规则审阅 tweet 草稿，给出 1-10 分评分，解释结果，并重写低于 7 分的弱稿。适合需要快速进行 tweet-draft-reviewer 的社媒检查、更聚焦的反馈，以及更清晰的 tweet-draft-reviewer 指南式工作流。

github 是一个面向 GitHub 的 skill，用于处理 PR、stacked PR、代码审查、分支管理和仓库维护，并结合 gh CLI 使用。适合在你需要一份清晰的 github 指南来重复执行 GitHub for Git Workflows 相关任务时使用，包括 merge 和 rebase 步骤。

refactoring-specialist 是一项面向代码重构的技能，用于在不改变行为的前提下提升代码结构、可读性和可维护性。它可帮助识别代码异味，执行小步且安全的重构，并始终关注测试与验证。

apple-appstore-reviewer 可在提交前审查 iOS 应用的 App Store 拒审风险、隐私缺口、权限、订阅设计以及可能阻碍审核的流程。

使用 finding-duplicate-functions 技能来识别语义重复：那些功能相同但名称或实现不同的函数。它专为 LLM 生成的、快速增长的 JavaScript 或 TypeScript 代码库设计，适用于代码审查、整合规划，以及在重构前进行清理；同时支持在 Code Review 中使用 finding-duplicate-functions。

create-colleague 可将同事文档、聊天记录、邮件、截图、Feishu 和 DingTalk 数据整理为可编辑的 AI 技能，并分别产出工作风格与人物画像内容，还提供持续迭代的更新流程。

面向 AppSec 威胁建模的、基于仓库内容的 security-threat-model 技能。它会把信任边界、资产、攻击者目标、滥用路径和缓解措施整理成一份简洁的 Markdown 威胁模型。适用于你需要针对某个具体仓库或路径做 security-threat-model 威胁建模时，而不是做通用的架构评审或代码检查。

golang-patterns 是一份面向惯用 Go 模式、代码评审和重构的实用指南。它能帮助 Backend Development 团队做出更清晰的 API 设计、更安全的错误处理、更有用的零值选择，以及更易维护的 package 边界。当你希望减少拍脑袋决策、让 Go 设计更一致时，适合安装 golang-patterns。

使用 security-review 技能审查 auth、用户输入、secrets、API、支付、上传以及其他敏感流程。它提供一份实用的安全审查指南，包含清晰的通过/不通过检查、风险模式示例，以及一套聚焦的流程，帮助你在发布前发现常见问题。

security-auditor 是一款轻量级、聚焦 OWASP 的技能，适用于代码审计、漏洞分级、密钥泄露检查，以及借助辅助脚本和参考资料输出结构化安全报告。

python-expert 是一个面向 Python 代码生成、评审、调试与重构的 GitHub skill。它为代理提供清晰的优先级顺序：先保证正确性，再考虑类型安全、性能，最后才是风格；同时引导用户查看 SKILL.md、AGENTS.md 和规则文件，以便在实际场景中采用。

insecure-defaults 技能可帮助识别 fail-open 配置模式——也就是软件在不安全设置下继续运行，而不是直接停止。适用于对生产代码、部署配置和密钥处理逻辑进行安全审计，帮助发现弱认证、硬编码密钥和过于宽松的默认配置。

coding-standards 技能为跨项目的命名、可读性、不可变性、一致性和代码审查提供基础规范，然后再应用框架特定规则。

executing-plans 用于让代理按书面实施计划有序执行：先审阅计划，再按顺序完成任务、运行指定检查，遇到阻塞就停止，并交接给收尾工作流。最适合 Project Management 等以计划驱动交付的场景。

cross-agent-delegation 可帮助 Claude Code 在 Kimi 和 Codex 之间分配工作，用于 agent 编排。它支持自动工具检测、测试后自动交给 Codex 审查，以及基于复杂度信号的受限 Kimi 委派。若你想要一份实用指南来安装、启用并使用多 CLI 工作流中的隐藏路由机制，这个 cross-agent-delegation 技能会很合适。

click-path-audit 技能可沿着 UI 处理函数追踪每一次状态变化，帮助在重构之后或代码评审过程中发现顺序型 bug、共享状态冲突以及最终状态不一致问题。

team-composition-patterns 是用于在 Claude Code Agent Teams 中设计多代理团队的决策型技能，提供团队规模启发式、subagent_type 选择与展示模式建议。使用本指南可套用预设的评审/调试团队、选择角色，并在各类任务中标准化团队配置。

update-provider-models 用于更新 vercel/ai 中的 provider model ID。适合在新增模型或移除废弃模型时使用，支持精确匹配搜索、顺序校验，以及对相关文件进行完整代码库更新。

skill-router 是一个前置入口技能，可将模糊需求分流给合适的 Claude Code 专家技能。本文将说明它适合哪些人安装、其工作方式，以及如何用于 Skill Discovery 和团队协作流程。

codeql 技能可帮助你在安全审计中更少遗漏地运行 CodeQL。它重点关注数据库质量、suite 选择、数据扩展和 SARIF 审查，让你在受支持的语言中更可靠地使用 codeql。适合在分析真实仓库时执行可重复的 codeql 指南步骤。

使用 security-ownership-map 分析 git 历史中的安全所有权风险、巴士因子以及敏感代码归属。它可以将人员映射到文件，找出无人认领或归属不足的区域，并导出用于图分析的 CSV/JSON。最适合安全审计问题、CODEOWNERS 真实性核对，以及基于提交历史识别所有权集群。

swift-patterns 是一个面向 SwiftUI 的技能，用于审查、重构或构建具备正确状态归属、现代导航、清晰视图组合、生命周期范围内异步工作以及性能检查的功能。需要比泛泛建议更实用、可直接落地且有仓库依据的前端开发帮助时，可使用这份 swift-patterns 指南。

self-improving-agent 是一个面向 Agent Orchestration 的元技能，用于记录任务结果、提炼可复用模式，并通过 memory、templates、hooks 以及可选的 PR review 来路由更新。

code-simplification 用于在不改变行为的前提下重构已正常运行的代码，让代码更清晰、更易维护。适合在代码本身正确，但可读性差、维护成本高或扩展困难时使用，尤其适用于嵌套逻辑、超长函数、重复规则，以及功能上线后的清理与整理。

react-useeffect 是一份实用的 React 指南，帮助你判断什么时候真正需要 useEffect，识别常见反模式，并优先选择更合适的替代方案，例如渲染逻辑、事件处理器、useMemo、通过 key 重置，或经过清理的 fetch Effects。

python-design-patterns 是一项面向 Python 重构与设计评审的技能，聚焦 KISS、SRP、关注点分离、组合优于继承，以及 Rule of Three，帮助产出更清晰、更易测试的代码。

project-flow-ops 通过梳理 issues、PR、review 和 CI 信号，帮助管理 GitHub 与 Linear 的执行流程，并判断哪些内容应该 merge、close、rebuild，或转入 Linear。适用于 Issue Tracking、backlog 梳理、PR 清理以及 GitHub 到 Linear 的协同。

code-deduplication 技能通过检查 CODE_INDEX.md、复用现有代码并在修改后更新索引，帮助 Claude 避免语义重复。适用于重构、共享工具函数以及更清晰的维护流程中的 code-deduplication 场景。

auto-trigger 是一个面向 Agent Orchestration 的配置型技能，用于在技能之间定义基于 hook 的后续动作。可从 agent-playbook 安装，用来启用 review、创建 PR、会话日志等事件驱动链路，但不应直接调用。

vue-pinia-best-practices 为 Vue 3 团队提供清晰指引，帮助更稳妥地使用 Pinia，重点涵盖安装时机、`storeToRefs` 用法、setup store 返回值，以及 URL 状态与 store 状态的取舍。

improve-codebase-architecture 可帮助你在代码库中发现架构摩擦、浅层模块以及进一步加深的机会。适合用于重构评审、提升可测试性，以及面向 AI 的设计决策，尤其是在你希望该 skill 尊重 `CONTEXT.md` 和 `docs/adr/` 指引时。

guidelines-advisor 是一款基于 Trail of Bits 最佳实践的智能合约开发顾问。它会分析代码库，生成文档，审查架构，检查可升级模式，评估实现质量，识别潜在陷阱，审查依赖，并评估测试情况。使用 guidelines-advisor 指南，可以获得清晰、基于证据的建议。

code-graph 是一款基于 AST 的代码图技能，通过 codebase-memory-mcp 提供快速符号查找、依赖分析和爆炸半径检查。适合在代码编辑时优先看图、再读文件的场景。

defi-amm-security 是一份面向 Solidity AMM、流动性池、LP 金库和 swap 流程的聚焦安全清单。它帮助审计人员和工程师检查重入、CEI 顺序、捐赠或通胀攻击、预言机假设、滑点、管理员控制以及整数运算，减少使用通用提示词时的猜测成本。

semgrep-rule-creator 可为安全漏洞、缺陷模式、污点流检测和编码规范创建生产级 Semgrep 规则。在需要精确规则、测试用例和验证，而不是泛泛草稿时，安全审计工作应使用 semgrep-rule-creator 技能。

prd-implementation-precheck 会在根据 PRD 或规格开始编码前，先强制执行一次预检查。它会审查范围、对齐情况、依赖、风险和测试预期，提出需要澄清的问题，并在获得确认后才进入实现。

code-maturity-assessor 提供基于证据的成熟度审查，采用 Trail of Bits 的 9 类框架。它会评估算术安全、审计、访问控制、复杂度、去中心化、文档、MEV 风险、底层代码和测试，并给出可执行建议，帮助判断是否已具备安全审计准备度。

python-patterns 技能可帮助你编写、审查和重构 Python 代码，重点关注符合惯用法的模式、清晰的结构、类型标注和实用的异常处理。适用于新代码、包/模块设计，或在保持行为不变的前提下做更整洁的重构，并遵循 Python 规范。

moyu-strict 是一个面向 Code Editing 的严格反过度设计技能。它帮助 agent 保持修改范围尽量收窄，在动手前先确认范围，避免引入新的抽象，并跳过未被要求的测试、文档、依赖或重写。适合你希望获得最小、安全的 diff 和可预测评审结果时使用。

agent-teams 是一个面向 Claude Code 的工作流技能，专为多智能体功能交付设计，采用严格的 TDD 流程。它会协调规范编写、评审、失败测试、实现、安全检查以及 PR 编排，适合使用 claude-bootstrap 的团队。在你需要可重复的交接、质量关卡，以及在功能分支上减少 agent 偏移时安装它。

vue-jsx-best-practices 可帮助前端开发者编写更符合 Vue 习惯的 Vue JSX 和 TSX，用 Vue 友好的 HTML 属性替换 React 风格的 `className`、`htmlFor` 等写法。

vercel-react-best-practices 是由 Vercel Engineering 提供的 skill，用优先级规则引导 AI 优化 React 和 Next.js 性能，涵盖瀑布流请求、bundle 体积和渲染等关键问题。

pytorch-patterns 帮助你使用与设备无关的模式、可复现实验和显式张量处理来编写、审查和调试 PyTorch 代码。将 pytorch-patterns 技能用于更干净的训练循环、模型重构以及实用的 PyTorch 指南。

p7 是一个在 P8 监督下执行代码生成任务的高级工程师技能。它适合处理范围明确的子任务，采用先规划后执行的流程：方案设计、影响分析、代码修改，以及 3 个问题的自我复核。最适合边界清晰的实现类工作，不适用于宽泛的架构设计或创意发散。

python-testing 帮助你以 pytest 优先的工作流来设计、编写和审查 Python 测试。可用于 TDD、fixtures、mocking、参数化、覆盖率检查，以及维护适用于 Skill Testing 和真实项目的可靠测试套件。

code-tour 可创建可复用的 CodeTour `.tour` 文件，并包含真实的文件与行号锚点。需要引导式序列而不是平铺式总结时，可使用 code-tour 技能来做入门导览、架构走读、PR 导览、RCA 路径，以及面向 Technical Writing 的 code-tour。

root-cause-tracing 可帮助你从症状反向追溯到最初触发点，从而定位失败根因。它特别适合排查深层栈错误、误导性输出，以及在更早阶段就已经引入了无效数据、路径或工作目录的场景。可将它用作一份 root-cause-tracing 排障指南，帮助你更有纪律地调试，并做出更安全的修复。

verification-loop 是一个用于 Claude Code 的验证工作流，用来在代码变更后检查构建、类型、lint、测试、安全性和 diff。这个 verification-loop 技能很适合在发 PR 之前或重构之后使用，当你需要的是一套结构化的变更后检查指南，而不是一个泛泛的提示词时。

dotnet-patterns 是一份面向后端开发的实用 .NET 模式指南。它帮助你编写和审查更符合惯例的 C#，在不可变性、显式依赖、async/await 以及可维护的 ASP.NET Core 服务方面提供更稳健的默认做法。适合用于代码生成、重构和审查；当你需要的是可复用的模式，而不是泛泛而谈的建议时，它会很有帮助。

constant-time-analysis 是一项安全审计技能，用于在加密代码中的定时侧信道风险变成可利用漏洞之前将其找出来。适合在检查 C、C++、Go、Rust、Swift、Java、Kotlin、PHP、JavaScript、TypeScript、Python 或 Ruby 时，审查是否存在依赖秘密数据的运算、分支、比较以及编译后的输出。

perl-testing 是一份实用指南，介绍如何使用 Test2::V0、Test::More、prove、mocking、coverage 和 TDD 编写、运行并改进 Perl 测试。该 perl-testing 技能适合用于安装指导、使用模式、迁移帮助，以及更快排查测试套件失败问题。

kickoff 可将一个想法或收件箱笔记转成结构化的 Project Note，并为项目管理提供两步式的规划与执行工作流。

variant-analysis 可在某个问题被确认后，帮助你在整个代码库中查找相似漏洞和缺陷。可用它来编写 CodeQL 或 Semgrep 查询，遵循先根因后扩展的工作流，并为 Security Audit 任务运行聚焦的 variant-analysis 指南。它更适合在发现问题后的定向搜索，不适合做大范围的初始审查。

launch-sub-agent 可帮助你在多智能体系统中为边界明确的任务派发一个专注的子智能体。它会分析任务复杂度，选择合适的模型层级，支持按专长匹配智能体，并加入自我审查验证，以获得更可靠的结果。

sarif-parsing 是一个扫描后的技能，用于读取、筛选、去重、汇总并转换来自 CodeQL、Semgrep 等工具的 SARIF 2.1.0 结果。适合你已经拿到扫描输出，并需要清晰的解析、聚合或面向 CI/CD 的转换时使用。它不用于执行扫描。

council 是一款面向决策支持的 skill，适合处理模糊选择、权衡取舍以及 go/no-go 判断。当存在多条都说得通的路径、你需要在拍板前先进行结构化分歧讨论时，就适合使用 council skill。它尤其适用于产品、工程、运营和战略类决策——在这些场景中，可自圆其说、经得起推敲的建议，比泛泛而谈的头脑风暴更重要。

continuous-agent-loop 帮助代理运行可重复的自主循环，配备质量门、eval、恢复步骤和明确的停止规则，以便更可靠地完成任务。

audit-context-building 会在漏洞排查前先构建深入的、逐行级别的代码上下文。这个 audit-context-building 技能可帮助安全审计员、架构评审人员和 agents 减少先入为主的假设，跟踪不变量，并在发现问题、修复或威胁建模之前准备可靠的审查上下文。

cpg-analysis 是一项用于深度代码分析的技能，面向控制流、数据流、污点路径和安全审计，结合 Joern CPG 和 CodeQL 使用。当普通的仓库浏览已经不够，而你需要跨函数、跨文件、跨 sink 的证据链追踪时，就应使用 cpg-analysis 技能。

springboot-tdd 是一个面向 Spring Boot 的测试先行工作流技能，结合 JUnit 5、Mockito、MockMvc、Testcontainers 和 JaCoCo。可用于新增功能、修复缺陷或重构，同时保持清晰的测试意图和较高覆盖率。特别适合用于测试自动化和后端变更的 springboot-tdd。

github-ops 是一个用于 GitHub 操作的技能，适合处理 issue、管理 PR、检查 CI 失败、准备发布，以及借助 `gh` CLI 监控仓库健康状况。当你需要在真实仓库中以可重复的方式使用 github-ops，并通过 `gh auth login` 完成认证、明确仓库上下文时，就该使用这个技能。

laravel-tdd 是一份面向 Laravel 的测试驱动开发指南，覆盖 PHPUnit 和 Pest。它帮助你选择单元测试、功能测试和集成测试，制定数据库策略，使用 fake，并设定覆盖率目标，形成一套实用的测试自动化工作流。

了解 agentic-engineering 技能，掌握以评估先行的执行方式、任务拆分、模型路由以及带回归检查的更安全工作流自动化。

tdd 是一项用于测试驱动开发的技能，帮助你用红-绿-重构循环来构建功能、修复 bug 并编写耐用的测试。它强调通过公共接口进行以行为为中心的测试、仅在边界处进行 mocking，以及面向测试自动化、重构和接口设计的实用指导。

springboot-verification 是面向 Spring Boot 项目的验证闭环，帮助你在提交 PR 或部署前确认改动是否安全。可用这份 springboot-verification 指南进行构建校验、静态分析、带覆盖率的测试、安全扫描以及 Skill Validation。

memory-safety-patterns 可帮助智能体在 C、C++ 和 Rust 中应用 RAII、ownership、smart pointers 与资源清理模式。适合用于审查后端或系统代码，减少内存泄漏和悬垂指针，并为围绕 files、sockets、buffers 和 FFI 边界的更安全重构提供指导。

vue-options-api-best-practices 可帮助前端团队在 Vue 3 中落实 Options API 最佳实践，修复 `this` 绑定和生命周期相关错误，并改进 props、computed、events 以及 inject 用法的 TypeScript 类型体验，无需切换到 Composition API。

debugging-and-error-recovery 技能用于指导系统化的根因调试，适用于测试失败、构建中断、运行时错误和回归问题。它强调先保留证据、稳定复现问题、按顺序诊断、以最小改动修复，并在继续之前完成验证。

healthcare-phi-compliance 可帮助审查医疗健康应用在数据模型、API、日志和访问路径中的 PHI/PII 风险。可用于检查数据分类、访问控制、加密、审计轨迹，以及与 HIPAA、DISHA、GDPR 和相关安全审计需求有关的常见泄露向量。

在支持的 Python、JavaScript/TypeScript 和 Go 技术栈中，使用 security-best-practices 技能进行聚焦的安全审计、默认安全编码支持，以及面向漏洞的审查。它会加载框架相关参考资料，帮助识别高风险模式，并给出基于证据的结论和可落地的修复建议。

laravel-security 技能是一份实用的 Laravel 安全检查清单，覆盖 authn/authz、验证、CSRF、mass assignment、文件上传、密钥、速率限制和安全部署。适合用于 Laravel 应用的审计、功能评审和加固工作。

tree-of-thoughts 是一种推理工作流技能，帮助智能体探索多种路径、剪除薄弱分支，并综合出更好的答案。它适用于困难调试、方案规划、架构权衡，以及用于 Agent Orchestration 的 tree-of-thoughts。

dwarf-expert 可帮助你检查 DWARF v3-v5 调试信息，读取 DIE 树和属性，验证数据完整性，并审查解析或生成 DWARF 的代码。当你需要针对编译后的二进制、调试段或后端开发工具链获得准确、基于证据的答案时，使用 dwarf-expert skill。

用于代码库静态分析的 Semgrep skill，具备自动语言检测、并行 worker、合并后的 SARIF 输出，以及先方案后审批的流程。面向 semgrep for Security Audit 工作流设计，支持 `run all` 和 `important only` 两种模式，使用 `--metrics=off`，并可在可用时利用 Semgrep Pro。

unified-notifications-ops 是一款原生于 ECC 的技能，用于将 GitHub、Linear、桌面通知、hook、chat 和 email 提醒统一到一个运营工作流中。可用它来定义路由、严重级别、责任人、去重、升级和后续行动，而不是让告警散落在各处、到处弹出。

semgrep-rule-variant-creator 可帮助将现有 Semgrep 规则迁移到目标语言，并结合适用性分析、先测试后验证以及规则/测试分离输出来完成转换。当你需要一个可靠的指南，用于在多语言代码库中扩展 Semgrep 规则，而不是从零创建全新规则时，适合使用 semgrep-rule-variant-creator 这个技能。

domain-authority-auditor 是一项基于 CITE 的域名信任审计技能，可对 Citation、Identity、Trust 和 Eminence 进行评分，按域名类型应用权重，标记一票否决风险，并为 Brand Review 与权威性检查按优先级给出修复建议。

ecc-tools-cost-audit 是一款基于证据优先的审计技能，面向 ECC Tools 的成本飙升、PR 失控生成、配额绕过、高阶模型泄漏和重复任务问题。适用于 Backend Development 调查：从 webhook 到 worker，再到 billing decision，逐段追踪请求链路，并证明开销究竟是在哪里产生的。

diagnose 是一套结构化的调试工作流，适用于疑难 Bug、间歇性失败的测试以及性能回退。它会帮助你复现问题、缩小失败案例、一次只提出一个假设、加入埋点、修复根因，并通过回归测试把问题锁定下来。当“帮我调这个”还不够时，就用 diagnose 指南。

git-workflow-and-versioning 可帮助开发者和智能体以更稳妥的方式管理代码变更，包括更安全的提交、短生命周期分支，以及可回退的历史记录。当你需要一份关于 trunk-based 工作流、便于评审的变更方式，以及更容易产生冲突场景的实用参考时，适合查看 git-workflow-and-versioning 的使用说明。

figma-implement-design 可将 Figma 画面转化为仓库中的生产可用代码，目标是尽量接近原设计在布局、状态、token 和响应式行为上的视觉一致性。它适用于 Figma 到代码的实现，不适用于 Figma 编辑、code connect 映射或生成新设计。内容包含安装指引、使用说明以及 Design Implementation 工作流的边界规则。

security-bounty-hunter 帮助你在代码仓库中发现更适合拿奖金的漏洞，重点关注可远程访问、由用户可控、且更可能通过初筛的安全问题。适用于 Security Audit 场景中，希望获得可提交、可报告的实际发现，而不是噪音很多的本地影响问题。

aflpp 是一款面向 C/C++ 目标的多核 fuzzing 实用技能，适合 AFL++ 场景。它可以帮助你规划 aflpp 安装、搭建 harness、选择插桩方式、准备 seed、运行测试活动，并更少靠猜测地排查 crash。适用于安全审计工作和可重复的 aflpp 使用流程。

substrate-vulnerability-scanner 可帮助审计 Substrate 和 FRAME pallets 中的关键问题，例如算术溢出、panic 型 DoS、错误的 origin 检查、不正确的 weights，以及不安全的 unsigned extrinsics。Security Audit 审查中可使用这个 substrate-vulnerability-scanner 技能，适用于 runtime、pallet extrinsics 和 weight 逻辑的检查。

makepad-2.0-troubleshooting 是一套聚焦 Makepad 2.0 排障的技能，专门用于按症状定位并修复问题。它可帮助处理 UI 不可见、点击失效、编译错误、热重载异常以及迁移回归等场景。若你需要面向 Backend Development 或 UI 重度应用的快速、代码级诊断，这份 makepad-2.0-troubleshooting 指南很适合使用。

ruzzy 是一款面向纯 Ruby 代码和 Ruby C 扩展的、基于覆盖率引导的 Ruby fuzzing 技能。使用 ruzzy 指南可搭建受支持的 Linux 环境、验证 sanitizer 接线是否正确，并为 Security Audit 工作流构建实用的 fuzzing 流程。

react-native-best-practices 是一份实用的 React Native 性能优化指南，聚焦启动慢、掉帧、重渲染过重、内存泄漏、bundle 体积膨胀和动画卡顿等问题。适用于需要有证据支撑的修复方案，例如 Hermes、bridge 开销、FlashList、原生模块，或排查线上版本回归性能时使用。

用于在多种语言和智能合约中编写、审查和改进 PBT 的 property-based-testing 技能指南。使用这份 property-based-testing 指南来识别 roundtrip、idempotence、invariant、parser、validator 和 normalization 场景，选择 generators，并判断何时 property-based-testing 比 example-based tests 更有优势。

app-store-preflight-skills 是一款面向 iOS 和 macOS 项目的提交前 App Store 审核检查技能。它通过在上传前审查元数据、隐私要求、entitlements、订阅和常见设计问题，帮助前端开发团队尽早发现被拒风险。适用于发布审核、拒审问题排查以及基于指南的合规检查。

stripe-best-practices 帮助后端开发者为支付、订阅、Connect、Treasury 和安全场景选择合适的 Stripe API 及集成入口。使用这份 stripe-best-practices 指南，可以避开已弃用的 API，减少返工，并根据当前 Stripe 推荐方案规划更安全的实现。

stride-analysis-patterns 可帮助智能体针对架构、API 和数据流执行结构化的 STRIDE 威胁建模分析。你可以从 wshobson/agents 仓库安装，阅读 `SKILL.md` 文件，并用它将系统描述转化为按类别整理的威胁项和以控制措施为重点的评审输出。

wp-phpstan 可帮助你在 WordPress 插件、主题和站点中配置、运行并修复 PHPStan。适用于 `phpstan.neon` 配置、baseline 工作流、面向 WordPress 的类型推断，以及处理可选插件类时减少误报。

p9 是一项面向 Agent Orchestration 的 tech-lead 风格技能，负责编写任务提示词、协调 P8 agents，并避免直接写代码。适合用来把项目目标拆分为边界清晰、可执行的 prompts，明确角色、约束、依赖关系和验收标准。

steve-jobs-perspective 是一款以角色视角驱动的产品批判技能，借助 Steve Jobs 风格的启发式原则、研究资料和示例，帮助你打磨产品决策、信息表达与战略判断。

workflow-orchestration-patterns 用于设计适合分布式系统的高可靠 Temporal workflows。了解它适合在什么场景使用、如何安装，以及如何划分 workflow 与 activity 的边界、处理 compensation、配置 retries，并保证 determinism。

使用 harden skill 提升前端 UI 的韧性，完善错误状态与空状态，补齐 i18n 支持、RTL 处理、溢出修复以及真实场景边界情况覆盖，帮助界面更适合生产环境。

draft-nda 可帮助起草一份两方之间的详细保密协议（NDA），涵盖信息类型、适用司法管辖区以及需要法律审查的条款。适用于准备保密协议、合作 NDA，或为法律团队和审阅流程生成结构化初稿时使用这项 draft-nda 技能。

vue-best-practices 是一项面向 Vue 3 的技能，适用于代码生成、代码审查和重构。它会引导代理优先采用 Composition API、`<script setup lang="ts">`、清晰明确的数据流、兼顾 SSR 的实现选择，并提供关于 reactivity、SFC、composables、Router、Pinia 以及基于 Vite 的应用的核心参考资料。

add-educational-comments 技能可在保持代码结构和行为不变的前提下，为指定代码文件添加以教学为导向的注释。若未提供目标文件，它会提示用户选择文件；同时还能根据读者水平调整注释方式，并遵循清晰的行数增长限制，适合教育型代码编辑场景。

next-best-practices 是一项面向 Next.js App Router 开发的实用技能，涵盖文件约定、RSC 边界、async API、数据模式、route handlers、bundling 与错误处理等关键实践。

solidity-security 是一项聚焦 Solidity 审计与安全编码的技能，适合审查重入、访问控制、不安全的外部调用以及修复方案。可用于在正式 Security Audit 前完善合约、优化提示词，并获得比通用审计请求更有结构的审查输出。

modern-javascript-patterns 是一份实用的 ES6+ 参考指南，适合用于重构旧版 JavaScript，并引入 async/await、modules、destructuring 以及函数式数组模式。你可以用它来现代化前端或通用 JavaScript 代码，在语法表达、模式选择和可维护性方面获得更清晰的改进方向。

accessibility-compliance 技能可帮助团队依据实用的 WCAG 2.2、ARIA、键盘可访问性、屏幕阅读器和移动端无障碍指导，对 Web 或移动 UI 进行审计与改进。适合用于 UX 审计、组件修复以及可直接落地的整改建议。

using-superpowers 是来自 obra/superpowers 的会话启动技能，要求在任何回复前先进行技能查找，帮助代理优先发现并激活合适的工作流。

dependency-updater 是一项跨生态技能，可自动识别项目清单文件，调用各生态原生的更新与审计工具，优先应用更稳妥的 minor 和 patch 更新，跳过已固定版本，并将 major 升级标记出来供人工审查。

entity-optimizer 可帮助 SEO 团队审计并优化品牌、人物、产品和组织在搜索、知识图谱、Wikidata 及 AI 系统中的实体信号。你可以用它通过结构化、基于证据的工作流，诊断品牌搜索表现偏弱、实体消歧问题、schema 缺失、资料档案不完整以及知识面板受阻等情况。

writing-skills 是一份面向 Skill Authoring 的实用指南，用于以测试驱动的工作流创建、编辑和验证 agent skills。你可以快速了解关键文件、前置条件，以及如何处理压力场景、基线测试，并高效迭代简洁的 `SKILL.md`。

面向 Better Auth 的 two-factor-authentication-best-practices：安装 twoFactor 插件，添加客户端重定向，运行迁移并验证 schema，实施 TOTP、backup codes、trusted devices 与 2FA sign-in flow，以满足 Access Control 场景需求。

improve-codebase-architecture 可帮助检查真实代码仓库，识别架构中的阻力点，并找出适合进行深模块重构的候选部分，从而提升可测试性、模块边界与长期可维护性。

Judge 是一个两阶段评估技能：先启动 meta-judge，再启动 judge 子代理，在隔离上下文、证据和明确标准下对作品打分。适合用于代码、写作、分析或 Skill Authoring 的仅报告式审查；当你需要一份站得住脚的 judge 指南，而不是随口给出的意见时，它尤其合适。

source-driven-development 技能将框架相关编码建立在官方文档之上，帮助你在实现前先验证模式是否正确。它非常适合在 React、Vue、Next.js、Svelte、Angular 等技术栈中进行 source-driven-development 相关使用，尤其是在正确性、来源可追溯性和版本敏感决策很重要的时候。

backlink-analyzer skill 可用于审核外链画像、检查有毒链接、挖掘链接建设机会，并借助内置评分标准、模板与外联参考分析竞争对手差距。

cost-optimization 技能可帮助代理按照一套实用框架审查 AWS、Azure、GCP 和 OCI 的云支出，重点覆盖成本可见性、rightsizing、定价模型、架构调整与标签标准。

screen-reader-testing 是一项适用于 UX 审核和无障碍 QA 的实用技能。你可以用它结合 VoiceOver、NVDA 和 JAWS 测试 Web 应用，确定浏览器与平台覆盖优先级，并系统检查表单、ARIA 行为、焦点管理以及动态播报等关键无障碍细节。

defi-protocol-templates 是一个 GitHub skill，可帮助快速搭建 DeFi 合约模板，涵盖 staking、AMMs、governance、lending 和 flash loans。它更适合作为 Solidity 设计与提示生成的起点，而不是经过审计、可直接用于生产环境的框架。

blueprint 能把一句话目标拆解成适用于复杂工程工作的分步实施方案。它面向跨多次会话、多个 PR 的任务、重构、迁移，以及项目搭建场景；当新的 agent 需要快速获取上下文、梳理依赖顺序、识别可并行步骤并设置评审关卡时，尤其适合使用 blueprint。

moyu-ja 是一项日文代码编辑技能，专注于将改动范围控制得尽可能小。它优先采用最小且安全的 diff，避免无关修改，并在需求含糊时主动请求澄清。适合需要克制、精确更新，而不是大范围重构的场景。moyu-ja 指南强调克制、准确范围和实用的变更控制。

ralphinho-rfc-pipeline 是一个以 RFC 驱动的多智能体工作流技能，适合将大型功能拆分为可验证的单元、逐步校验每一步，并通过集成检查完成合并。它尤其适用于 ralphinho-rfc-pipeline 的 Multi-Agent Systems，以及重构、schema 变更、auth、性能和安全相关工作。

python-observability 可帮助你为 Python 服务接入结构化日志、指标、链路追踪、correlation ID 以及有界基数模式，用于生产环境排障，并更稳妥地推进可观测性落地。

product-manager-skills 是面向 Claude Code、Codex、Cursor 和 Windsurf 的 PM 操作型技能。它适用于 PRD 评审、SaaS 指标诊断、路线图取舍、发现式调研规划、PM 教练支持和 PLG 策略制定。它专为产品判断、显式假设表达和更精准的产品管理决策而设计。

baseline-ui 用于基于一套有明确主张的基线，审查或生成 Tailwind 风格的 UI，重点关注间距、排版、可访问性和动效。當你需要更安全的组件输出、更清晰的 UI 设计决策，以及尽量减少与现有原语的偏离时，可以使用 baseline-ui 技能。它特别适合 React/Tailwind 工作流，以及实际可执行的 baseline-ui 指南检查。

api-connector-builder 可帮助你按宿主仓库现有的集成模式、接线方式、测试和约定，添加一个 repo-native 的 API connector 或 provider。

用于在 Linear 中管理 issue、项目、initiative、标签和团队更新的 Linear 技能。当你需要面向发现式工作流的可靠 Linear 用法、状态更新、创建 issue，以及借助 MCP 或 CLI 兜底路径实现可重复的项目管理时，可使用这份 Linear 指南。

screenshot 技能可在你需要 OS 级图片而不是仅限浏览器的截图时，捕获整屏、应用窗口或像素区域。它适用于 Workflow Automation 中的截图使用场景，包含保存位置规则、macOS 权限处理，以及清晰的安装指引，帮助实现稳定可靠的桌面截图。

swift skill 能帮助你更有把握地写出更好的 Swift 代码。可用于 Swift 配置、日志、可观测性、测试、跨平台模式、API 设计、访问控制和内存安全特性。它尤其适合 Swift for Backend Development，因为这里更看重 Swift 的实际用法、安装指引以及与仓库相关的实现细节。

django-verification 是面向 Django 后端项目的发布就绪技能。它会引导你完成环境检查、lint、格式化、类型检查、迁移、带覆盖率的测试、安全扫描和部署就绪检查，帮助你在 PR 或发布前尽早发现问题。

context-budget 技能会审计 Claude Code 在 agents、skills、rules 和 MCP servers 中的上下文使用情况。它能帮助识别臃肿内容、重复内容和高成本组件，并返回按优先级排序的清理建议。这个 context-budget 指南适合需要实际使用 context-budget 的场景，以及更大规模环境中的 Skill Testing。