Find Skills

核心用法

find-skills 是一个技能发现与管理工具，基于 npx skills CLI 帮助用户搜索、安装和更新 Agent 扩展能力。核心流程包括：理解用户需求 → 执行关键词搜索（npx skills find [query]）→ 展示匹配结果 → 协助安装（npx skills add <package> -g -y）。

显著优点

1. 生态开放：接入 https://skills.sh/ 开放仓库，涵盖 Vercel、ComposioHQ 等权威来源
2. 覆盖广泛：支持 Web 开发（React/Next.js）、测试（Jest/Playwright）、DevOps（Docker/K8s）、文档、代码质量等 7+ 领域
3. 安装便捷：单条命令完成全局安装与自动确认，零配置上手
4. 智能降级：未匹配时主动提供通用能力支持，并引导用户创建自定义技能（npx skills init）

潜在局限

• 依赖网络：需访问 skills.sh 及 npm 生态，离线环境不可用
• 质量参差：开放生态中技能质量取决于作者，需人工甄别来源可信度
• 版本管理：update 为全量更新，无法精细控制单个技能版本
• 无内置审核：官方未展示安全扫描流程，需用户自行评估第三方代码风险

适合人群

• 希望快速扩展 Agent 能力的开发者
• 需要领域最佳实践（如 Vercel React 性能优化）的团队
• 频繁重复特定工作流、愿将其封装为可复用技能的高级用户

常规风险

• 安装第三方技能即执行外部代码，存在供应链攻击面
• 建议优先选用 vercel-labs/agent-skills 等知名组织发布的技能
• 生产环境使用前应审查技能源码权限要求

核心用法

find-skills 是一个纯文档型 Skill，本身无可执行代码，其核心作用是引导用户使用 npx skills CLI 工具来发现和安装其他 Skills。主要工作流程：

1. 需求识别：通过对话理解用户需要的领域（如 React、测试、部署等）
2. 智能搜索：执行 npx skills find [query] 进行关键词匹配
3. 结果呈现：向用户展示 Skill 名称、功能说明、安装命令及官方链接
4. 协助安装：使用 npx skills add <owner/repo@skill> -g -y 完成全局安装

显著优点

• 生态整合：直接对接 https://skills.sh/ 官方仓库，覆盖 Vercel Labs、ComposioHQ 等可信来源
• 零学习成本：无需记忆复杂命令，通过自然语言交互即可完成 Skill 发现
• 场景覆盖广：内置 Web 开发、Testing、DevOps、Documentation 等 7 大常用分类的搜索建议
• 降级友好：当未找到匹配 Skill 时，自动提供直接帮助或引导用户创建自定义 Skill (npx skills init)

潜在缺点与局限性

• 依赖外部 CLI：实际功能由 npx skills 提供，本 Skill 仅为使用指南，若 CLI 工具更新或不可用则失效
• T3 来源可信度：维护者为个人开发者/社区项目 (isainazar/openclaw)，非官方团队出品
• 无实时验证：无法保证搜索到的第三方 Skill 本身的安全性，需用户自行判断
• 纯文档限制：无法执行实际的搜索操作，必须引导用户手动运行命令

适合人群

• 刚接触 Open Agent 生态、希望快速扩展能力的新用户
• 需要频繁切换不同领域工具（如今天写测试、明天做部署）的多面手开发者
• 希望通过标准化流程发现最佳实践而非重复造轮子的团队

常规风险

• 供应链风险：npx skills 执行的安装命令会下载并执行远程代码，目标 Skill 的安全性需单独评估
• 命令注入风险：用户输入的搜索关键词若被恶意构造，理论上可能影响 CLI 行为（建议始终使用参数化调用）
• 网络依赖：skills.sh 服务可用性影响功能体验

安全认证亮点

该 Skill 获得 S+ 顶级安全评级（满分 100），六维扫描全部通过：

• 静态分析：无危险函数、无敏感信息泄露
• 动态行为：无可执行代码，纯 Markdown 文档
• 依赖审计：零第三方依赖
• 网络分析：仅文档引用 URL，无 API 调用
• 隐私合规：完全符合 GDPR/CCPA，无数据收集