核心功能
SkillCompass 是一套面向 Claude Code 插件生态的 skill 质量管理解决方案,采用六维评估体系(结构、触发、安全、功能、比较、独特)对 skill 进行量化评分。安全维度(D3)为门控项,一旦出现 Critical 级发现即强制判定 FAIL。
显著优点
1. 系统化评估框架:D1-D6 六维加权评分,30% 权重赋予功能质量,20% 赋予安全,兼顾实用性与风险控制
2. 防御性安全设计:零网络活动、只读评估为默认、写入操作需显式确认、SHA-256 快照回滚、输出守卫验证
3. 智能工作流:自动发现 skill → 快检扫描 → 风险分级 → 定向改进,支持 --ci 非交互模式适配自动化流水线
4. 使用追踪与治理:通过 Hook 机制追踪 skill 调用频率,识别闲置与高风险 skill,提供上下文占用监控
5. 完善的生态集成:支持 skill 对比、合并、回滚、演进等高级操作,兼容 claude-hud 状态栏扩展
潜在局限
- Node.js 依赖:需要本地 Node 运行时环境,纯浏览器环境无法使用
- 侧载目录写入:
.skill-compass/目录持续累积快照与报告,长期需手动或配置自动清理 - Hook 机制攻击面:SessionStart/PostToolUse 等 Hook 虽功能必需,但增加了自动执行代码的路径
- 评估主观性:D4 功能质量、D5 比较价值等维度依赖 LLM 判断,可能存在评分波动
适合人群
- 管理 5+ skill 的中重度 Claude Code 用户
- 需要审计 team 共享 skill 安全性的技术负责人
- 开发 custom skill 并需要 CI/CD 质量门禁的开发者
常规风险
- 快照累积导致磁盘空间占用增长
- 依赖的
js-yaml需定期更新以规避潜在 CVE - 上游 skill 更新需隔离验证后再合并
安全认证要点
- 认证等级:S 级(85 分),T2 可信来源(Evol-ai GitHub 组织)
- 核心结论:零外部 API 调用、本地优先架构、多层防护机制完备
- 4 项发现均为 low/info 级:文件系统写入、本地脚本执行、Hook 机制、依赖使用,均属功能必需且已妥善控制
使用建议
首次安装后自动触发 Post-Install Onboarding,完成 skill 发现、快检扫描与状态栏配置。日常通过 /skillcompass 智能入口获取建议或摘要,/eval-audit --fix 用于批量修复,--ci 模式用于流水线集成。