核心用法
SkillCompass 是专为 Claude Code 技能包设计的评估驱动进化引擎,采用六维评估模型对技能质量进行量化分析:
| 维度 | 权重 | 核心关注点 |
|------|------|-----------|
| D1 结构 | 10% | Frontmatter 有效性、Markdown 格式规范 |
| D2 触发 | 15% | 激活质量、拒绝准确性、可发现性 |
| D3 安全 | 20% | **门禁维度** — 密钥泄露、注入攻击、权限越界、数据外渗 |
| D4 功能 | 30% | 核心质量、边界处理、输出稳定性、错误处理 |
| D5 对比 | 15% | 相比直接 Prompt 的增量价值 |
| D6 唯一性 | 10% | 功能重叠、淘汰风险、差异化程度 |
评分公式:overall_score = Σ(Di × weight) × 10,70分以上且D3通过即为合格。
命令体系
/skill-compass— 自然语言入口,自动路由/eval-skill— 质量评估(支持--scope gate|target|full)/eval-improve— 自动修复最薄弱维度/eval-security— D3 独立深度扫描/eval-audit— 批量目录评估(支持--fix --budget)/eval-compare|merge|rollback|evolve— 版本管理全生命周期
显著优点
1. 门禁式安全管控:D3 安全维度具有一票否决权,单条 Critical 发现即强制判定 FAIL,不可覆盖
2. 非侵入式版本管理:所有元数据存储于 .skill-compass/ 边车目录,绝不修改目标 SKILL.md 的 frontmatter
3. 智能回滚保护:改进前自动 SHA-256 快照,若改进后任一维度下降 >2 分则自动 discard
4. 分层验证机制:L0-L3 四级验证,从语法检查到跨技能影响评估逐级递进
5. 零网络架构:纯本地执行,无外部 API 调用,隐私数据不出境
潜在局限
1. 插件依赖限制:/eval-evolve 自主多轮进化功能需额外安装 ralph-wiggum 插件
2. Node.js 运行时依赖:要求本地环境预装 Node,对纯浏览器场景不友好
3. D6 评估边界:唯一性评估需读取 ~/.claude/skills/ 目录,在权限受限环境可能降级
4. 自动修复保守性:为防止 regression,自动回滚阈值设为 2 分,可能导致部分边际改进未被采纳
适合人群
- 技能开发者:需要客观量化评估技能质量的创作者
- 安全审计员:负责 Claude Code 技能供应链安全的合规人员
- 平台运营者:管理大量技能仓库、需要批量审计与版本追踪的团队
- 进阶用户:追求 Prompt Engineering 边际收益、希望对比「用技能 vs 直接用 Prompt」的效果差异
常规风险
| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 文件系统读取 | 中等 | 需读取目标技能目录及 `~/.claude/skills/` 进行 D6 评估 |
| 本地脚本执行 | 低 | 动态行为分析在沙箱 Node 环境执行,无逃逸风险 |
| 依赖供应链 | 极低 | 仅依赖 js-yaml@4.1.1,无已知 CVE |
| 数据残留 | 低 | 快照与报告写入 `.skill-compass/` 目录,需定期清理 |
认证结论:T-Lite 全扫描通过,六维雷达满分 90 分,S 级安全评级,无发现项。