审计

workspace-surface-audit 是一款只读审计技能，用于检查工作区和机器当前能做什么。它会检查仓库、MCP 服务器、插件、连接器、环境暴露面和 harness 配置，然后为 Workflow Automation 推荐最合适的 ECC 原生技能、hooks、agents 和工作流。

security-bounty-hunter 帮助你在代码仓库中发现更适合拿奖金的漏洞，重点关注可远程访问、由用户可控、且更可能通过初筛的安全问题。适用于 Security Audit 场景中，希望获得可提交、可报告的实际发现，而不是噪音很多的本地影响问题。

repo-scan 是一款跨技术栈的源码审计技能，可对文件进行分类、识别内嵌的第三方库，并帮助你判断哪些是核心代码、重复代码或无用负担。它适用于 repo-scan 代码审查、遗留系统迁移和重构规划。技能中提供了 repo-scan 安装与 repo-scan 使用指引。

quality-nonconformance 是一款面向受监管制造场景的技能，覆盖 NCR 受理、根因分析、CAPA、SPC 解释和最终处置。适用于合规审查、供应商质量问题，以及需要可追溯性、风险判断和审计可用结论的证据驱动决策。

product-lens 是一款用于决策支持的技能，帮助你在动手构建前先验证“为什么要做”，对产品方向进行压力测试，并把模糊需求转化为更清晰的 brief。适合需要快速做产品诊断、而不是撰写完整 spec 的场景，尤其是在工程规划前想先得到更明确的 go/no-go 结论时使用。

healthcare-phi-compliance 可帮助审查医疗健康应用在数据模型、API、日志和访问路径中的 PHI/PII 风险。可用于检查数据分类、访问控制、加密、审计轨迹，以及与 HIPAA、DISHA、GDPR 和相关安全审计需求有关的常见泄露向量。

ecc-tools-cost-audit 是一款基于证据优先的审计技能，面向 ECC Tools 的成本飙升、PR 失控生成、配额绕过、高阶模型泄漏和重复任务问题。适用于 Backend Development 调查：从 webhook 到 worker，再到 billing decision，逐段追踪请求链路，并证明开销究竟是在哪里产生的。

click-path-audit 技能可沿着 UI 处理函数追踪每一次状态变化，帮助在重构之后或代码评审过程中发现顺序型 bug、共享状态冲突以及最终状态不一致问题。

automation-audit-ops 是一款面向 Workflow Automation 的、以证据为先的自动化清单与重叠审计技能。它可帮助你在动手修复前，先识别哪些 jobs、hooks、connectors、MCP servers 或 wrappers 正在运行、已损坏、重复，或根本缺失。

cso 是一款面向代理的 Chief Security Officer 风格安全审计技能。它可帮助审查代码库和工作流中的密钥泄露、依赖与供应链风险、CI/CD 安全，以及基于 OWASP Top 10 和 STRIDE 的 LLM/AI 安全问题。适合用 cso 做结构化的 Security Audit 评审，支持置信门控、主动验证和趋势追踪。

design-review 是一款面向 UX 的设计 QA 技能，用于审核线上界面，发现间距、层级、视觉一致性和交互问题，并通过带验证的迭代方式逐步修正。它支持在实现前进行 plan-mode 审查，适合你想要一份针对具体源代码改动的 design-review 指南，而不是泛泛而谈的建议时使用。

accessibility-compliance 技能可帮助团队依据实用的 WCAG 2.2、ARIA、键盘可访问性、屏幕阅读器和移动端无障碍指导，对 Web 或移动 UI 进行审计与改进。适合用于 UX 审计、组件修复以及可直接落地的整改建议。

security-requirement-extraction 可将威胁模型和业务背景转化为可测试的安全需求、用户故事、验收标准以及适用于 Requirements Planning 的待办项输出。

stride-analysis-patterns 可帮助智能体针对架构、API 和数据流执行结构化的 STRIDE 威胁建模分析。你可以从 wshobson/agents 仓库安装，阅读 `SKILL.md` 文件，并用它将系统描述转化为按类别整理的威胁项和以控制措施为重点的评审输出。

threat-mitigation-mapping 技能用于将已识别的威胁映射到跨层的预防性、检测性和纠正性控制措施，支持纵深防御、修复规划以及控制覆盖审查。

使用 pci-compliance skill 辅助 PCI DSS 架构审查、范围缩减、差距分析，以及支付数据处理决策。适合设计支付流程、准备合规评估，或在正式合规审查前复核控制措施的团队。

gdpr-data-handling 可帮助团队把 GDPR 要求转化为可落地的审查指引，用于处理同意管理、合法依据、数据主体权利、保留期限以及 privacy-by-design 等决策。

wcag-audit-patterns 是一套面向无障碍评审的结构化 WCAG 2.2 审核技能。可用于结合自动化检测结果与人工检查，按严重程度和符合性级别对问题排序，并为页面、流程和组件生成可落地的修复建议。

ai-prompt-engineering-safety-review 是一项用于提示词审计的技能，可在生产环境、评估流程或面向客户使用前，审查 LLM 提示词在安全性、偏见、安全弱点和输出质量方面的风险。

agent-governance 是一项以文档为核心的技能，用于为会调用工具的 AI agent 和多智能体系统设计护栏、策略校验、信任规则、工具限制与审计日志。

seo-audit 是一项结构化的 SEO 审核技能，用于诊断抓取可达性、索引收录、技术问题、页面优化和内容层面的异常。它能帮助代理先获取网站背景信息，按清晰的审核顺序推进，避免对 schema 做出缺乏依据的判断，并将发现整理为有优先级的行动计划。

page-cro 是一项用于审查营销页面并找出可落地转化优化方案的 CRO 技能。你可以用它分析落地页、定价页、首页、功能页和博客页，并结合目标、流量来源、受众和转化阻碍等明确信息进行评估。内容还包含安装参考、工作流建议、提示词示例，以及以实验为导向的使用方式。

free-tool-strategy 可帮助 Product Marketing 与增长团队判断是否值得打造免费的营销工具，对比 calculator、grader、analyzer 或 generator 等工具形态，并明确 MVP 范围、gating 策略与实施取舍。内容包含基于 repo 的安装上下文、关键文件说明，以及实用的使用建议。

form-cro 是一项用于审计和优化非注册类表单的技能，适用于线索收集、联系、Demo 申请、报名、问卷、报价以及结账类表单。它可帮助团队减少字段摩擦、诊断放弃原因，并基于仓库内指南、eval 示例以及清晰的安装与使用路径来重构表单。