核心功能
who-is-actor 是一款零依赖的 Git 仓库协作模式分析技能,仅通过原生 git 只读命令(git log、git shortlog、git diff --stat 等)及标准 Unix 文本工具采集数据,本地聚合后生成仓库级报告。核心输出包括:
- 提交节奏指标:每日/每周提交频次、活跃天数占比、周末/深夜提交比例
- 代码流失与返工信号:增删行数比率、7 天内文件重复修改率
- 提交规范合规率:Conventional Commits 格式匹配度、消息长度分布
- 巴士因子风险:单贡献者文件占比、文件级知识集中度
- 可见活动指数:综合 Git 活跃度的宏观信号(明确禁止用于绩效评估)
显著优点
1. 零安装依赖:不执行任何脚本,不安装 pip/npm 包,仅依赖系统预装工具
2. 隐私优先设计:不采集邮箱(-sn 替代 -sne),提交消息和文件路径在本地即聚合为数值指标,原始文本绝不进入 AI 提示
3. 安全白名单机制:仅允许 5 类只读 git 子命令,输入参数经严格正则校验(路径绝对化、禁用危险字符、日期 ISO 格式化)
4. Dry-Run 预览:首次使用建议先展示待执行命令,用户确认后再运行
5. 多语言自然语言激活:支持中英日韩等语言的仓库分析请求
潜在局限与风险
| 局限类型 | 说明 |
|---------|------|
| **Git 可见性盲区** | 无法反映代码评审、架构设计、技术讨论、 mentorship、on-call 值班等非提交型贡献 |
| **身份合并难题** | 同一开发者可能因机器配置差异产生多个作者名(需依赖 `.mailmap` 手动统一)|
| **时区解释歧义** | 跨时区团队的"深夜提交"可能为正常工作时间 |
| **敏感元数据残留** | 提交消息和文件路径虽本地聚合,但若用户误操作仍可能短暂暴露(依赖代理正确实现过滤规则)|
| **激活条件严格** | 必须同时满足"明确分析意图 + 具体仓库路径 + 权限确认 + 隐私提醒"四要素,泛化提及"代码质量""研发效率"等词汇不会触发 |
适用人群
- 技术团队负责人:希望通过客观数据开启关于工作流、代码规范、知识分散度的团队对话
- DevOps/平台工程师:评估仓库健康度、识别单点故障风险文件
- 开源维护者:了解贡献者分布、规范项目协作模式
- 敏捷教练/回顾会议组织者:为 Sprint 回顾提供数据支撑的观察点
常规风险与合规要点
1. 绝对禁止的用途:绩效排名、薪酬调整、招聘/解雇决策、个人 surveillance。代理必须拒绝此类请求。
2. 团队场景需知情同意:分析他人贡献数据前,须确认已告知相关成员。
3. 权限验证:用户必须确认对目标仓库具有分析权限,不违反雇佣合同或当地法律。
4. 秘密信息泄露防控:内置正则自动脱敏 API 密钥、AWS AKIA、私钥头、数据库连接串等模式。
安全等级论证
本技能设计层面通过"输入校验 + 命令白名单 + 本地聚合 + 敏感数据过滤"四层防护降低风险,但因最终依赖 AI 代理正确实现(无原生沙箱执行),且涉及多人隐私元数据,安全等级评定为 S(优秀设计,需代理合规实现)。
---
来源可信度:T2(社区维护,MIT 协议,GitHub 公开仓库,有明确安全规范文档)