Skill Finder (Find ClawHub skills + Search Skills.sh)

🔍 双源技能发现,智能匹配最优工具

智能发现ClawHub与Skills.sh双生态技能,基于需求匹配最优方案,支持安全评估与偏好学习,解决能力扩展与工具选型难题。

收藏
45.5k
安装
11.2k
版本
1.1.5
CLS 安全性认证2026-05-12
点击查看完整报告 >

使用说明

核心用法

Skill Finder 是面向 AI Agent 的技能发现与选型工具,核心能力在于连接 ClawHub( curated 注册表)与 Skills.sh(开放生态)两大技能来源,帮助用户基于实际需求快速定位、评估并安装最优技能。

使用时,Skill Finder 会首先检测用户是否描述了能力缺口(如"如何做得更好""有没有更快的办法"),而非被动等待"找技能"的明确指令。随后读取本地记忆文件(~/skill-finder/memory.md)获取用户偏好的搜索模式(默认双源并行),将用户描述转化为具体技能需求(如"PDF 编辑"而非泛泛的"PDF 处理"),执行搜索后按多维度评估候选技能,最终呈现 1-3 个带明确推荐理由的方案,仅在获得用户明确授权后执行安装。

显著优点

1. 双源整合优势:打破单一生态局限,ClawHub 适合追求 curated 质量与内置审查的场景,Skills.sh 适合探索前沿开放技能,Skill Finder 默认并行搜索两者并提供对比决策。

2. 主动触发机制:不局限于关键词匹配,能识别"能力缺口描述""工作流优化诉求""当前工具不满"等隐含需求场景,显著降低用户认知负担。

3. 结构化评估体系:基于描述清晰度、下载量(活跃度指标)、最后更新时间、作者声誉、安装范围摩擦度等维度筛选,避免"名字匹配即推荐"的粗糙做法。

4. 偏好学习闭环:支持记录用户显式反馈(喜欢/跳过/偏好设置),持续优化后续推荐相关性,且严格区分显式声明与行为推断,避免过度拟合。

5. 安全边界清晰:明确区分本地数据(偏好、历史)与外传数据(搜索查询),强制用户确认安装,禁止自动接受提示、强制安装标志或静默全局安装。

潜在缺点与局限性

1. 生态依赖性:核心功能依赖 npx clawhubnpx skills CLI 工具,若任一上游服务变更接口或可用性,可能需快速适配。

2. 评估指标盲区:下载量与更新频率虽能反映维护状态,但无法直接衡量代码质量或安全性,仍需配合其他审计手段。

3. 记忆文件单点:用户偏好集中存储于 ~/skill-finder/memory.md,跨设备同步需用户自行处理,暂无内置云同步机制。

4. 查询质量敏感:若用户描述过于模糊,搜索效果高度依赖 Skill Finder 的"需求翻译"能力,极端情况下可能产生方向偏差。

适合人群

  • AI Agent 重度用户:已积累一定技能使用经验,需要系统性工具管理技能组合、寻找替代方案。
  • 工作流优化者:频繁遭遇"现有方案不够快/不够安全/不够维护"痛点,希望主动发现更优工具。
  • 多项目开发者:需要在 ClawHub 的稳定性与 Skills.sh 的前沿性之间灵活切换的团队或个人。
  • 安全敏感用户:重视安装前审查、明确授权流程,不愿接受静默自动化的谨慎型用户。

常规风险

| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| 供应链风险 | Skills.sh 开放生态可能包含未经审计的技能 | 强制检查扫描警告,优先推荐 ClawHub 或高声誉来源 |
| 数据外传 | 搜索查询发送至外部注册表 | 明确披露,搜索历史仅本地存储 |
| 权限越界 | 恶意技能可能请求过度权限 | 安装前展示 inspect 信息,用户确认后执行 |
| 版本漂移 | 技能更新可能引入破坏性变更 | 推荐搭配 `skill-manager`/`skill-update` 主动管理版本 |

整体而言,Skill Finder 是 Agent 技能生态中的"智能导购",其价值不在于替代人工判断,而在于系统性降低发现成本、结构化呈现决策信息,并在安全与便利之间维持审慎平衡。

安全解读

核心用法

Skill Finder 是 ClawHub 官方推出的技能发现与管理工具,专注于帮助用户在两个主流技能生态(ClawHub 官方注册表与 Skills.sh 开放平台)中高效搜索、评估和安装 Agent Skills。

主要功能模块:

  • 双源搜索:默认同时搜索 ClawHub(npx clawhub search)和 Skills.sh(npx skills find),支持三种模式配置(both/clawhub/skills.sh)
  • 智能评估:基于下载量、更新频率、作者信誉、描述清晰度等多维指标筛选候选技能
  • 偏好学习:通过 ~/skill-finder/memory.md 记录用户显式反馈(偏好设置、喜欢/跳过的技能),实现个性化推荐
  • 安全边界:强制用户 consent 机制,禁止自动安装、强制覆盖或静默权限升级

典型工作流程
1. 检测用户需求描述("如何做X"、"有没有更好的工具"等激活信号)

2. 读取本地记忆获取搜索偏好

3. 按需搜索并跨源比较结果

4. 基于 evaluate.md 标准评估候选

5. 呈现 Top 1-3 推荐并说明优劣

6. 仅在获得明确同意后执行安装

显著优点

1. 生态整合能力:业内罕见的双注册表支持,ClawHub 侧重精选 curated 内容,Skills.sh 覆盖更广泛的社区生态,用户可一键对比最优解

2. 安全设计突出:纯 Markdown 文档型 Skill 无执行代码,所有操作通过用户手动 npx 命令完成;内置完善的风险提示体系(禁止 force-install、区分全局/本地安装、扫描警告前置展示)

3. 主动发现机制:不被动等待"找技能"指令,能识别能力缺口描述("这个太慢了"、"能不能自动…")主动推荐扩展方案

4. 决策辅助清晰:拒绝简单罗列,强制输出"Why it wins"结构化对比,降低用户选择负担

5. 记忆系统轻量:本地文件存储偏好,符合 GDPR 数据最小化,无遥测或行为追踪

潜在缺点与局限

1. 外部依赖较重:依赖系统预装 npx,部分精简环境(如某些容器镜像)可能需要额外配置 Node.js 环境

2. 搜索隐私 trade-off:关键词查询必然外发至 ClawHub 和 Skills.sh,敏感场景(如内部项目命名)存在信息泄露风险,文档已披露但无本地离线索引方案

3. Skills.sh 质量参差:开放平台虽覆盖广,但缺乏统一审核,评估责任完全落在用户端,对新手判断力要求较高

4. 无版本锁定机制:推荐时未强调技能版本冻结,可能因上游更新引入 breaking changes

5. 记忆系统简单:仅支持显式反馈记录,无法从隐式行为(如长时间浏览后放弃)学习偏好

适合人群

  • Agent 进阶用户:已熟悉基础交互,希望系统性扩展能力边界
  • 多技能管理者:需要定期评估替代方案、淘汰低维护技能
  • 安全敏感型用户:重视安装前的透明审查与权限控制
  • 跨平台探索者:希望同时利用 ClawHub 精选与 Skills.sh 社区资源

常规风险

  • 搜索内容外泄:商业敏感关键词可能被第三方注册表日志记录
  • Skills.sh 供应链风险:社区提交的技能可能存在恶意代码或 typosquatting,需严格遵循 evaluate.md 检查清单
  • 依赖版本漂移npx 默认取最新版,与 skill 声明的兼容性可能错位
  • 误操作安装:文档中的示例命令可能被直接复制执行,需保持"explicit consent"警觉

Skill Finder (Find ClawHub skills + Search Skills.sh) 内容

手动下载zip · 15.3 kB
categories.mdtext/markdown
请选择文件