Who Is Actor

核心用法

Who Is Actor 是一款专注于 Git 仓库开发者行为分析的 AI 驱动工具。它最大的特点是零安装依赖——不执行任何 pip/npm 安装，不运行自定义脚本，完全依靠系统预装的 git 命令和标准 Unix 文本工具（cut、sort、awk、grep 等）采集数据，再由 AI 进行解读和评估。

用户只需用自然语言描述需求，如"分析 /path/to/project 仓库"、"对比 Alice 和 Bob 的提交习惯"或"生成开发者画像报告"，工具即自动执行一系列只读 git 命令，收集贡献者统计、提交时间分布、代码变更量、文件类型、bug 修复频率等数据，最终输出结构化的 Markdown 报告。

显著优点

1. 极致轻量：无需管理依赖版本，不污染目标环境，开箱即用
2. 安全可控：仅执行白名单内的只读命令（git log、git shortlog、git diff --stat 等），禁止任何写入操作、网络请求或任意代码执行
3. 隐私优先：强制使用作者名称（%an）而非邮箱（%ae），禁止输入含 @ 的参数，从源头避免个人信息泄露
4. 多层防护：提供 Dry-run 模式、严格的输入验证（路径、日期、作者名、分支名正则过滤）、敏感数据自动脱敏（API key、密码、私钥等正则匹配替换为 [REDACTED]）
5. 多语言支持：支持中英日韩及欧洲主要语言的自然语言触发
6. 六维评估体系：从提交习惯、工作习惯、开发效率、代码风格、代码质量、参与度六个维度量化分析，附带雷达图评分和改进建议

潜在缺点与局限性

• 数据盲区：无法捕捉代码审查、架构设计、技术讨论、团队指导等不产生 commit 的工作内容
• 身份归一难题：同一开发者可能因不同机器配置显示为不同名称，需手动维护 .mailmap 文件
• 时区敏感：跨时区团队的工作时间分析可能产生偏差
• 大型仓库性能：全历史分析可能耗时较长，建议限定日期范围
• AI 解读主观性：评分标准虽有量化依据，但最终解读仍依赖 AI 的"主观判断"
• 参与度指数误用风险：官方明确警告该指数仅作宏观参考，严禁用于绩效考核、裁员、调薪等 HR 决策

适合人群

• 技术团队负责人需要快速了解团队代码贡献分布和协作健康度
• 开源项目维护者评估核心贡献者和 bus factor 风险
• 开发者自我复盘，优化个人工作节奏和代码提交习惯
• 需要进行轻量级代码审查准备，而不想部署复杂 DevOps 工具链的场景

常规风险

1. 命令注入：虽有多层输入验证，但若 AI Agent 实现不当，仍可能存在注入漏洞（官方建议先在测试仓库执行"Enforcement Verification Protocol"验证）
2. 敏感信息泄露：commit message 可能包含内部信息，工具虽提供脱敏规则，但无法保证 100% 覆盖所有变体
3. 伦理争议：未经告知分析团队成员可能引发信任危机，官方建议提前透明沟通
4. 误读数据：高参与度指数不等于高效，低参与度指数也可能反映深度思考型工作模式，需结合完整上下文理解

核心用法

who-is-actor 是一款零依赖的纯指令型技能，旨在无侵入地分析 Git 代码仓库。它完全依赖原生 git 命令和标准 Unix 文本处理工具（如 awk, grep, sed）来收集数据，并由 AI 进行解读。该技能可生成每位开发者的详细档案，涵盖提交习惯、工作作息、研发效率、代码风格、代码质量和参与度六大维度的雷达评分，并提供一针见血的优缺点总结与改进建议。此外，它还能产出一份包含团队总览表、开发者对比以及巴士因子风险预警的综合报告。

显著优点

• 极致的隐私与安全设计：内置命令白名单，仅允许执行只读的 git 操作；严格校验所有用户输入，防止命令注入；原则上不收集开发者邮箱，并对敏感数据强制自动脱敏。
• 真正的零依赖：分析过程无需安装任何 pip 或 npm 包，无需运行任何自定义脚本，完全消除了供应链攻击风险。
• 直击要害的分析：评论风格严肃、直接，摒弃模棱两可的套话，完全由数据驱动，旨在提供类似资深技术主管进行年终代码审查时的犀利见解。
• 多语言与用户友好：提供预演模式，允许用户在命令实际执行前进行审查。支持中、英、日、韩、法、德等多语言自然语言指令，使用门槛极低。

潜在缺点或局限性

• 安全依赖 Agent 合规性：作为纯指令型技能，其所有安全规则均以自然语言描述而非可执行代码强制实施，安全防护的实际效果高度依赖于 AI Agent 的解释与执行能力，存在理论上的绕过风险。
• 来源可信度有限：技能维护者为个人开发者，社区信誉和影响力尚在建设期，缺乏大型组织或知名机构背书。
• 视角片面：Git 记录无法反映代码审查、架构设计、团队指导等非提交类贡献，“参与度指数”存在以偏概全的风险。

适合的目标群体

对团队代码协作模式、个人开发效率有深刻洞察需求的研发负责人、技术主管或架构师。它尤其适合希望在保护隐私的前提下，通过可量化的数据了解团队真实工作状况的技术管理者。需要注意的是，该报告严格禁止作为绩效考评或裁员决策的唯一依据，更适合作为内部自省与改进的辅助参考。

使用风险

• 伦理与隐私边界：输出的“开发者画像”和“参与度指数”可能被误用于不当的人力资源决策，或在未获得团队成员知情同意的情况下引发信任危机，这是技能明确声明但又无法技术上完全杜绝的伦理风险。
• 参数注入风险：尽管文档中规定了严格的输入校验规则，但如果 AI Agent 未能正确执行这些规则，攻击者构造的恶意路径或参数有可能导致命令注入。
• 数据泄露风险：尽管设计了自动脱敏机制，但如果 AI Agent 在处理时忽略了这些指令，仍存在将包含密钥、令牌的提交信息发送到外部 AI 模型的风险。
• 性能影响：对于提交历史极长的大型仓库，执行全文分析的 git 命令可能会消耗大量时间和系统资源。