核心用法
SkillCompass 通过六个加权维度(D1 结构 10%、D2 触发 15%、D3 安全 20% 门控、D4 功能 30%、D5 比较价值 15%、D6 独特性 10%)对 Claude Code 技能包进行量化评分。总分≥70 且 D3 通过为 PASS,<50 或 D3 Critical 则强制 FAIL。
核心命令覆盖完整生命周期:
/eval-skill— 单技能质量评估(支持--scope gate/target/full分级扫描)/eval-improve— 自动修复最弱维度,内置快照回滚与改进验证/eval-security— D3 深度安全扫描/eval-audit— 批量目录审计(支持--fix --budget资源控制)/eval-compare/merge/rollback/evolve— 版本管理与渐进式进化
显著优点
1. 门控安全设计:D3 安全维度具绝对否决权,Critical 发现强制 FAIL,且前置预评估扫描(pre-eval-scan.sh)与输出守卫(output-guard.js)双重拦截恶意模式。
2. 零网络攻击面:明确声明零外部请求,所有评估本地执行,依赖仅 js-yaml@4.1.1(无已知 CVE)。
3. 可回滚的自动化:每次修改前 SHA-256 快照,改进后若任一下滑 >2 分自动回滚,确保无副作用。
4. 非侵入式元数据:版本追踪、修正记录全部存于 .skill-compass/ 旁路目录,绝不污染目标 SKILL.md。
潜在局限
- 执行依赖 Node.js:需本地 Node 环境,纯容器/受限环境可能受限。
- 进化功能需插件:
/eval-evolve自主多轮进化依赖ralph-wiggum插件,非开箱即用。 - 权限要求较高:需 Bash(执行安全评估脚本)与 Write(状态与快照),在极端锁死环境可能受限。
适合人群
- 维护多技能包的开发者与团队(批量审计场景)
- 对安全合规敏感的企业用户(D3 门控 + S 级认证)
- 追求技能版本可追踪、可回滚的 DevOps 工作流
常规风险
作为安全评估工具,其本身需读取文件系统与执行脚本,虽内置沙箱与输出验证,但用户仍需确认来源可信度(T2 级 GitHub 组织 Evol-ai)。建议生产使用前进行场景化测试。