trailofbits/skills 多维度简评

综合评分：9.2 / 10 ⭐⭐⭐⭐⭐ 类别：安全工具 / 代码审计 来源：trailofbits/skills 影响力：3k+ Stars，全球顶级安全公司 Trail of Bits 官方出品 维护者：Trail of Bits（审计过 Uniswap、Solana、OpenZeppelin 等）

一、核心定位与价值

这不是玩具 prompt 集合。这是 工业级安全工具 + AI 语义理解的结合——把 Trail of Bits 内部审计 workflow 开源成了 Claude Code 插件市场。

Trail of Bits 是一家全球顶尖的安全公司，审计过的项目包括：

• Uniswap（DEX 龙头）
• Solana（公链）
• OpenZeppelin（智能合约框架）
• 各种加密协议、操作系统、Web 应用

他们把真实工作流开源出来，装上之后 Claude Code 从”写代码小助手”变成”安全审计小雷达”。

真实案例：Trail of Bits 用 constant-time-analysis 在 RustCrypto 发现并推动修复了一个 ML-DSA 签名中的计时侧信道漏洞（PR: github.com/RustCrypto/signatures/pull/1144）。这不是 demo，是真金白银的 finding。

二、14 个 Skill 全景（按用途分组）

2.1 通用审查（5 个）

2.2 修复验证（3 个）

2.3 智能合约（2 个）

2.4 自定义规则（1 个）

三、核心 Skill 详解

3.1 differential-review（最实用）

核心能力：对 PR / git diff 做安全专注的变更审查。

比 Semgrep 强在哪：

• ✅ 理解意图和业务影响（不只匹配模式）
• ✅ 分析变更是否破坏原有安全控制
• ✅ 检查权限提升、认证绕过风险

实战提示词：

Run differential-review on this change, focus on security impact.

[粘贴 git diff]

典型发现：

• 新增的 API 缺少权限校验
• 修改了认证逻辑但没更新测试
• 引入了新的依赖但没审计
• 移除了某条安全检查

3.2 variant-analysis（CVE 横向排查）

使用时机：某 CVE 爆出后，你最怕的是”我们项目里有没有类似模式？”

实战提示词：

CVE-2024-XXXX 爆出了 XX 漏洞模式。
Use variant-analysis to find similar patterns to this CVE across the repo.

典型场景：

• Log4Shell 爆出后，全仓搜 ${jndi: 模式
• Spring4Shell 爆出后，全仓搜 Class.getMethod()
• 某个 0day 爆出来后立刻自查

适合：应急响应、合规自查。

3.3 supply-chain-risk-auditor（依赖审计）

核心能力：直接扫描依赖，评估供应链威胁景观。

关键问题：

• 这个依赖是几月没有更新？
• 作者历史是否可信？
• License 兼容吗？
• 是否有已知 CVE？

实战提示词：

Audit this dependency tree with supply-chain-risk-auditor.

甲方最爱的场景：“上游被攻、下游遭殃”提前预警。

3.4 insecure-defaults（硬编码密钥扫描）

核心能力：一键扫出硬编码密钥、fail-open 设计、危险默认值。

典型发现：

# ❌ 找到
API_KEY = "sk-1234567890abcdefghijklmnopqrstuvwxyz"
AWS_SECRET = "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
JWT_SECRET = "my-secret"

# 默认 fail-open
def authenticate(request):
    try:
        verify_token(request.headers['Authorization'])
    except Exception:
        return AnonymousUser()  # ❌ 应该 return 401

3.5 static-analysis（多工具融合）

核心能力：内置 CodeQL + Semgrep + SARIF 解析。

关键创新：AI 帮你解释结果、过滤低危、给出修复建议。

对比纯 SAST 工具：

• 工具：报告 “Detected potential SQL injection at line 42”
• Skill：报告 “Detected potential SQL injection at line 42. User input from request.form['username'] is concatenated directly into SQL query. Recommended fix: use parameterized query with cursor.execute('SELECT * FROM users WHERE name = ?', (username,))”

3.6 constant-time-analysis（密码学专用）

核心能力：检测加密代码的计时侧信道。

为什么重要：加密算法执行时间差异会泄露密钥信息。

实战案例：Trail of Bits 用这个 Skill 在 RustCrypto 找到真实漏洞。

提示词：

Review this ML-DSA implementation for timing side channels.

3.7 zeroize-audit（密钥清零）

核心能力：确保敏感数据被正确清零。

典型场景：C/Rust 加密模块，密钥使用后必须从内存清零。

3.8 building-secure-contracts（智能合约）

支持链：Ethereum / Solana / Cosmos / Polkadot / NEAR / Tezos

扫描漏洞类型：

• 重入攻击（Reentrancy）
• 整数溢出
• 未授权访问
• 抢跑（Front-running）
• 等等

提示词：

Scan this Solidity code with building-secure-contracts.

3.9 entry-point-analyzer（状态入口扫描）

核心能力：找出所有可改状态的入口点。

审计意义：审计合约时，第一步就是搞清楚”谁能改什么状态”。

四、安装指南

4.1 Claude Code（官方市场）

# 注册市场
/plugin marketplace add trailofbits/skills

# 查看所有 Skill
/plugin menu

# 安装需要的（推荐 5 个核心）
/plugin install differential-review@trailofbits
/plugin install variant-analysis@trailofbits
/plugin install static-analysis@trailofbits
/plugin install insecure-defaults@trailofbits
/plugin install supply-chain-risk-auditor@trailofbits

4.2 本地开发模式（内网）

git clone https://github.com/trailofbits/skills
/plugin marketplace add ./skills

4.3 前置依赖

部分 Skill 依赖本地工具：

# macOS
brew install semgrep
brew install codeql  # 或下载 CodeQL CLI

# Ubuntu
sudo apt install semgrep

五、日常使用工作流（甲方实战）

5.1 PR 审查阶段

# 1. 审查者拉取代码
git fetch origin pull/123/head:pr-123
git checkout pr-123

# 2. 在 Claude Code 中
"Run differential-review on this change, focus on security impact"

5.2 应急响应

# CVE 爆出来后
"Use variant-analysis to find similar patterns to this CVE across the repo"
# CVE-2024-XXXX has this pattern: ...

5.3 第三方代码引入前

"Audit this dependency tree with supply-chain-risk-auditor"
# Audit @aws-sdk/client-s3 version 3.450.0

5.4 修复验证

# 提交修复 PR 后
"Verify if this commit fixes the previous issue without regressions"
# Run fix-review on commit abc123

5.5 智能合约项目

"Scan this Solidity code with building-secure-contracts"
"Use entry-point-analyzer to find all state-modifying entry points"

六、6 条核心使用建议

1. 先装 5 个核心：differential-review + variant-analysis + static-analysis + insecure-defaults + supply-chain-risk-auditor
2. 每个 PR 都跑 differential-review：作为审查流程的强制环节
3. CVE 爆出来立刻跑 variant-analysis：合规自查利器
4. 大项目分批审：避免一次性喂整个 monorepo
5. 报告导出：输出报告可作为合规证据
6. 公司规范沉淀：用 semgrep-rule-creator 把内部规范固化

七、优缺点对比

✅ 优点

❌ 缺点

八、对比其他安全方案

Trail of Bits Skills = “专业工具 + AI 语义”的最佳平衡点。

九、安全警示：Skills 也有供应链风险

2026 年初，Trail of Bits 安全研究员公开测试发现：

主流 Agent Skills 扫描器（ClawHub/Cisco/Vercel skills.sh）都能被轻易绕过——个位数换行符截断、Python bytecode 藏毒、prompt injection 都能成功。

Trail of Bits 自己也是受害者：anthropics/skills 仓库的 MS Office Skill 包含高度可疑的操作（通过 LD_PRELOAD 加载动态库）。

所以你必须做的 3 件事：

1. 只装可信来源：官方仓库 + 大型团队 + 活跃社区
2. 审阅 SKILL.md：特别是 !command 这样的 shell 执行语法
3. 权限控制：在全局配置中按 Skill 设置 allow / deny / ask

// ~/.config/opencode/opencode.json
{
  "permission": {
    "skill": {
      "*": "allow",
      "internal-*": "deny",
      "experimental-*": "ask"
    }
  }
}

十、常见 Q&A

Q: 必须订阅 Claude Code 吗？ A: 不必须，但 Opus 4.6+ 效果最佳。

Q: 可以单独装某个 Skill 吗？ A: 可以。/plugin install differential-review@trailofbits

Q: 跟 SonarQube / Snyk 冲突吗？ A: 不冲突。互补。Trail of Bits 专注 AI 语义 + 工具链融合。

Q: 适合个人项目吗？ A: 适合。即使是个人项目，加密/认证相关代码也建议跑。

Q: 中文支持？ A: Skill 是英文的，但审查中文代码无障碍。

十一、总结

trailofbits/skills 是 AI 安全审计的事实标准。

核心价值：

• 工业级安全工具 + AI 语义理解
• Trail of Bits 10 年实战沉淀
• 甲方安全团队、企业开发团队的必备

适用人群：

• ✅ 甲方安全团队（PR 审查、应急响应）
• ✅ 加密项目（密码学、侧信道、密钥管理）
• ✅ 智能合约开发（6 大链支持）
• ✅ 任何对安全有要求的项目

投入产出比：⭐⭐⭐⭐⭐（5/5）——安全项目必装。

配套文档：anthropics/skills 多维度简评 | obra/superpowers 多维度简评 | addyosmani/agent-skills 多维度简评 | Vercel react-best-practices 多维度简评

参考资料

1. trailofbits/skills GitHub 仓库
2. Trail of Bits 公司官网
3. tencent 极道 Trail of Bits 详解
4. OWASP Top 10 (2021)
5. Semgrep 官方文档

十三、Trail of Bits 公司背景

13.1 全球顶尖安全公司

Trail of Bits 是一家总部位于纽约的安全研究公司,成立于 2012 年。审计过的项目包括:

核心数据:

• 80+ 顶级安全工程师
• 1000+ 次公开审计
• 70+ 研究论文
• 150+ 开源安全工具(Slither、Manticore、echidna 等)

13.2 知名工具

13.3 行业地位

Trail of Bits 的研究报告被 CVE 编号机构直接采纳,他们的发现经常进入 NIST 指南和 OWASP 标准。

十四、14 个 Skill 完整分类

14.1 通用审查(5 个)

1. differential-review(差异审查)⭐⭐⭐⭐⭐

最实用的核心 Skill。

能力:针对 PR / git diff 做安全专注的变更审查。

比 Semgrep 强在哪:

• ✅ 理解意图和业务影响(不只匹配模式)
• ✅ 分析变更是否破坏原有安全控制
• ✅ 检查权限提升、认证绕过风险
• ✅ 结合 git 历史理解变更背景

典型发现:

• 新增的 API 缺少权限校验
• 修改了认证逻辑但没更新测试
• 引入了新的依赖但没审计
• 移除了某条安全检查
• 删除了关键的安全断言

实战提示词:

Run differential-review on this change, focus on security impact.

[paste git diff]

2. variant-analysis(变体分析)⭐⭐⭐⭐

应急响应必备。

场景:某 CVE 爆出后,你想知道:“我们项目里有没有类似模式?”

能力:

• 全仓库搜索相似漏洞模式
• 跨语言支持(C/Rust/Solidity/Go/Python)
• 自动化的漏洞模式匹配
• 报告潜在的 historical 隐患

实战提示词:

Use variant-analysis to find similar patterns to CVE-2024-1234
across the repo, focus on cryptographic code.

真实案例:

• Heartbleed(CVE-2014-0160)爆出后,用此 Skill 在 1000+ 仓库快速排查
• Log4Shell(CVE-2021-44228)爆发时的应急响应

3. supply-chain-risk-auditor(供应链风险审计)⭐⭐⭐⭐

场景:你引入了一个新依赖,想知道它安全吗?

能力:

• 扫描整个依赖树
• 评估已知漏洞(CVE 数据库)
• 检查维护者活跃度
• 评估许可证合规性
• 检测 typo-squatting 风险

实战提示词:

Audit this dependency tree with supply-chain-risk-auditor
# Audit @aws-sdk/client-s3 version 3.450.0

输出:

• ✅ 无已知 CVE
• ✅ 维护者活跃(周提交频率)
• ⚠️ 间接依赖 7 个,其中 2 个已 EOL
• ❌ typo-squatting 风险:无

4. insecure-defaults(不安全默认配置)⭐⭐⭐⭐⭐

最日常的检查工具。

检测:

• 硬编码密钥(API key、密码、token)
• fail-open 失败设计
• 危险默认值
• 弱加密算法
• 不安全的协议使用

实战提示词:

Run insecure-defaults on src/config/ and src/auth/

典型发现:

# ❌ 检测到
SECRET_KEY = "sk-1234567890abcdef"  # 硬编码
ssl_verify = False  # 不安全默认
hashlib.md5(password)  # 弱算法

# ✅ 建议
SECRET_KEY = os.environ["SECRET_KEY"]
ssl_verify = True
hashlib.scrypt(password)

5. static-analysis(静态分析增强)⭐⭐⭐

内置 CodeQL + Semgrep + SARIF 解析。

能力:

• 自动跑 CodeQL 查询
• 集成 Semgrep 规则
• SARIF 结果解析
• Claude 智能解释:不只是给警告,还解释为什么
• 过滤低危,聚焦高危
• 给出修复建议

14.2 修复验证(3 个)

6. fix-review(修复验证)⭐⭐⭐

问题:开发者说”修好了”,但实际没修好/引入新 bug 的情况太常见。

能力:

• 验证修复 commit 是否真解决问题
• 检查是否引入新 bug
• 测试覆盖率变化分析
• 回归测试

实战提示词:

Verify if this commit fixes the previous issue without regressions.
# Run fix-review on commit abc123

7. constant-time-analysis(恒定时间分析)⭐⭐⭐

侧信道检测。

应用场景:加密库、TLS 实现、密码学代码。

原理:

• 编译器优化可能让”看上去恒定时间”的代码产生时序差异
• 此 Skill 用 dudect + ctgrind 工具检测真实时序泄漏
• 符号执行验证控制流不依赖秘密数据

真实战绩:Trail of Bits 用它在 RustCrypto 发现并推动修复了一个 ML-DSA 签名中的计时侧信道漏洞。

PR: https://github.com/RustCrypto/signatures/pull/1144

8. zeroize-audit(清零审计)⭐⭐⭐

敏感数据生命周期审计。

检测:

• 密钥是否在使用后被清零
• 编译器优化是否让 memset(0) 被优化掉
• 栈上的敏感数据是否会泄漏
• 堆上的密码是否被 GC 清理

应用:C/Rust 加密模块、OpenSSL 集成、密码管理。

14.3 智能合约(2 个)

9. building-secure-contracts(构建安全合约)⭐⭐⭐⭐⭐

6 大链智能合约开发指南:

核心文档:build-secure-contracts 是一套全面的合约安全知识库,涵盖每个链的:

• 已知漏洞模式
• 测试模式
• 部署最佳实践
• 升级策略

10. entry-point-analyzer(入口点分析)⭐⭐⭐

审计重中之重。

能力:

• 自动枚举合约所有可改状态的函数
• 构建权限矩阵
• 标记 admin-only 函数
• 检测无保护的初始化函数
• 可视化入口点图

14.4 自定义规则(1 个)

11. semgrep-rule-creator(Semgrep 规则创建器)⭐⭐⭐

价值:把公司内部规范固化为 Semgrep 规则。

能力:

• 编写 YAML 格式的 Semgrep 规则
• 定义 taint 模式
• 配置 metavariable
• 私有 registry 部署
• CI 集成

实战场景:

• 内部 SDK 误用检测
• 业务规则检查
• 行业合规规则

14.5 其它工具(3 个)

• codeql-query-author - CodeQL 查询编写
• property-based-testing - 属性测试
• threat-modeling - 威胁建模

参考: 腾讯网 Trail of Bits 开源 | cn-sec.com 甲方安全指南

十五、真实案例:Trail of Bits 用 constant-time-analysis 修 RustCrypto 漏洞

15.1 漏洞背景

ML-DSA(Module-Lattice-Based Digital Signature Algorithm,前称 Dilithium)是 NIST 选定的后量子密码签名标准之一。RustCrypto 是 Rust 生态最广泛使用的密码学库。

15.2 发现过程

Trail of Bits 团队在用 constant-time-analysis Skill 审查 ML-DSA 实现时,发现:

• reduce() 函数的某些分支条件依赖秘密数据(私钥)
• 在某些输入下,执行时间会有微小差异
• 虽然实际时序差异 < 100ns,但理论上构成侧信道泄漏

15.3 影响

• CVE 严重程度:中(实际利用门槛高,但符合”理论侧信道”标准)
• 修复 PR:#1144 in RustCrypto/signatures
• 影响范围:所有使用该实现的 Rust 项目

15.4 修复方案

1. 引入 subtle crate 的恒定时间原语
2. 重构 reduce() 函数,确保所有分支与秘密数据无关
3. 添加 cargo-ctgrind 到 CI
4. 写专门的时序泄漏测试

价值:这不是一个 demo finding,是真实生产环境的漏洞。如果没有 constant-time-analysis 这种专业工具,这种 100ns 级别的侧信道几乎不可能靠人工发现。

十六、Trail of Bits Skills 完整工作流

16.1 4 阶段审计流程

Phase 1: 自动化扫描
├── static-analysis
├── semgrep + codeql
└── insecure-defaults

Phase 2: 重点审查
├── differential-review
├── variant-analysis
└── threat-modeling

Phase 3: 深度分析
├── constant-time-analysis
├── zeroize-audit
└── entry-point-analyzer

Phase 4: 修复验证
├── fix-review
├── property-based-testing
└── 回归测试

16.2 实际工作流示例

场景 1:新项目接手

# 第一步:全仓库静态扫描
"Run static-analysis on the entire codebase"
"Run insecure-defaults on src/"
"Run supply-chain-risk-auditor on package.json"

# 第二步:查历史
"Use variant-analysis to find any past security issues mentioned in git log"

# 第三步:生成报告
"Generate a security report based on the above findings"

场景 2:PR 审查

# 贴入 PR diff
"Run differential-review on this PR, focus on security impact"
# → 输出:Critical / Important / Minor 三级分类

场景 3:漏洞应急

# CVE 爆出后
"Use variant-analysis to find similar patterns to CVE-2024-XXXX in our codebase"
# → 输出:可能的隐患位置列表

# 修复后验证
"Use fix-review on commit <hash> to verify the fix is correct"

场景 4:智能合约部署前

# Solidity
"Use building-secure-contracts to scan this Solidity code"
"Use entry-point-analyzer to find all state-modifying functions"
"Use static-analysis with Slither"

参考: 腾讯网 Trail of Bits 开源实战

十七、性能与准确性

17.1 误报率对比

17.2 Token 消耗

17.3 真实项目应用

• Uniswap V4 审计:用 differential-review + entry-point-analyzer 在 2 周内发现 5 个新漏洞
• Apple Secure Enclave 2020 审计:zeroize-audit 思想被纳入 Apple 内部 SDK
• OpenZeppelin Contracts:持续维护中,使用 entry-point-analyzer 保证权限图正确

十八、与其他安全工具对比

18.1 vs 纯 SAST 工具

18.2 vs 普通 Claude prompt

18.3 优势总结

Trail of Bits Skills = 专业工具 + AI 语义 + 实战经验的最佳平衡点。

十九、安装与上手

19.1 推荐安装(5 分钟)

# 在 Claude Code 对话框输入:
/plugin marketplace add trailofbits/skills

# 查看所有技能列表
/plugin menu

# 安装你需要的(推荐先装这 5 个)
/plugin install differential-review@trailofbits-skills
/plugin install variant-analysis@trailofbits-skills
/plugin install static-analysis@trailofbits-skills
/plugin install insecure-defaults@trailofbits-skills
/plugin install supply-chain-risk-auditor@trailofbits-skills

19.2 本地开发模式(企业内网用)

git clone https://github.com/trailofbits/skills
/plugin marketplace add ./skills

19.3 注意事项

• 依赖本地工具:semgrep、codeql 等需要先装
• Claude 模型:Opus 4.6+ 效果较好
• 大 monorepo:分批审,避免 token 爆炸
• 报告导出:输出可写周报/漏洞台账

二十、未来发展

20.1 短期(2026 Q3-Q4)

• 更多链支持:TON、StarkNet、zkSync
• LLM 安全:针对 LLM/Agent 的专项审计
• CI 集成:/security-scan 命令一键集成 GitHub Actions

20.2 中期(2027)

• AI 增强误报过滤:semgrep-rule-creator AI 化
• 自动修复建议:不只是”发现问题”,还能给出”修复 diff”
• 安全知识图谱:跨项目的漏洞关联

20.3 长期

“让每个开发者都拥有 Trail of Bits 级别的安全判断力。“

二十一、参考链接(完整版)

21.1 官方资源

1. trailofbits/skills GitHub ⭐ 3k+
2. Trail of Bits 官网
3. Trail of Bits 博客
4. Slither 静态分析器 ⭐ 5.6k+
5. Manticore 符号执行 ⭐ 3.2k+
6. Echidna 模糊测试 ⭐ 2.5k+
7. build-secure-contracts ⭐ 800+

21.2 中文社区

8. 腾讯网 Trail of Bits 开源 - 3 月 3 日报道
9. cn-sec.com 甲方安全指南 - 安装 + 工作流
10. CSDN 安全军火库 - Github 安全工具盘点

21.3 漏洞案例

11. RustCrypto PR #1144 - 侧信道修复
12. NVD CVE Database - 漏洞数据库
13. OWASP Top 10

21.4 智能合约

14. Solidity 安全最佳实践
15. Solana 安全指南
16. Move Prover

21.5 工具支持

17. Claude Code 插件系统
18. agentskills.io 规范
19. Anthropic Skills

21.6 相关项目

20. anthropics/skills ⭐ 108k+
21. obra/superpowers ⭐ 34k+
22. addyosmani/agent-skills ⭐ 37k+
23. vercel-labs/agent-skills ⭐ 8k+

二十二、给甲方安全团队的具体建议

22.1 部署路径建议

第一周(基础装):differential-review + insecure-defaults

第二周(扫描覆盖):static-analysis + variant-analysis

第三周(供应链):supply-chain-risk-auditor

第四周(深度):constant-time-analysis + zeroize-audit

第一个月后(智能合约):building-secure-contracts + entry-point-analyzer

22.2 内部规范集成

# 1. 把公司内部 Semgrep 规则纳入
# 2. 用 semgrep-rule-creator 把内部 SDK 误用模式固化为规则
# 3. 部署到内部 GitLab/GitHub CI
# 4. 每周自动跑全仓库扫描
# 5. 关键 PR 必须先过 trail of bits skills

22.3 ROI 估算(50 人研发团队)

年节省 ≈ 1,500+ 小时 ≈ 75 万人民币(按 500 元/小时算)

二十三、结语

Trail of Bits Skills 不是普通的安全工具,而是全球顶尖安全公司 10+ 年实战经验的 AI 化沉淀。

它的真正价值不在于”找出更多漏洞”,而在于让每个项目都能用上工业级的安全审计能力。

最佳实践:

1. 先装 5 个核心 Skill(differential-review、variant-analysis、insecure-defaults、static-analysis、supply-chain-risk-auditor)
2. 跑几个历史 PR 看效果
3. 慢慢扩展到所有 14 个 Skill
4. 把公司内部规范用 semgrep-rule-creator 固化

最后一句:安全不是”装上 Skill 就有”,而是”装上 Skill + 团队重视 + 持续运营”。Trail of Bits Skills 是”持续运营”的最佳载体。

二十四、补充:Trail of Bits 2026 年公开研究报告

24.1 2026 年发布的 5 篇重磅研究

1. 《The State of Smart Contract Security 2026》 - 智能合约安全年度报告
2. 《Post-Quantum Cryptography: A Practitioner’s Guide》 - 后量子密码工程实践
3. 《LLM Security: OWASP Top 10 for Large Language Models》 - LLM 安全风险
4. 《Supply Chain Attacks: A 2026 Retrospective》 - 供应链攻击回顾
5. 《Zero-Knowledge Proof Systems: Security Considerations》 - ZK 系统安全

24.2 推荐阅读路径

入门:
  - Trail of Bits 博客
  - Slither 文档
  - Crytic 工具集

进阶:
  - 《Software Security Assessment》
  - Manticore 教程
  - Echidna 模糊测试

专家:
  - Trail of Bits 研究论文
  - NIST 加密标准
  - EIP / ERC 规范

24.3 加入社区

• Discord: https://discord.gg/trailofbits
• Twitter: @trailofbits
• Newsletter: 月度安全研究报告

最终参考 Trail of Bits 2026 年 8 月最新活动数据,本文档保持时效性更新。

十七、常见问题 FAQ

17.1 什么是 Skills?

Skills 是打包在文件夹中的一组指令,用于教 Claude 如何处理特定任务或工作流。通过 Skills,用户无需在每次对话中重复解释偏好、流程和专业知识。

17.2 Skills vs Subagents vs MCP?

17.3 如何选择 Skill?

1. 重复工作流 → Skill
2. 复杂多步骤 → Subagent
3. 外部 API → MCP
4. 结合使用 → Skill 编排 Subagent + MCP

17.4 Skills 在哪些平台可用?

• Claude Code
• Claude.ai
• Cursor
• OpenCode
• OpenClaw
• GitHub Copilot
• Windsurf
• Cline
• Roo Code
• Kiro
• Junie
• Augment Code
• Warp
• Goose

17.5 Skill 大小有限制吗?

• description:≤ 1024 字符(开放) / ≤ 1536 字符(Claude Code)
• SKILL.md:建议 < 500 行
• 完整加载:≤ 5,000 token
• 总大小:无硬性限制,建议 < 1MB

17.6 如何让 Skill 真正被触发?

来自 Anthropic 14 个设计模式:

1. description 主动:写明触发词
2. 排除条款:说明什么时候不用
3. 示例:在 SKILL.md 里放 2-3 个 Input/Output 示例
4. 测试:跑 5-10 个真实场景

17.7 8 个参考链接

1. Anthropic Skills 官方
2. 简书 Claude Code Skills 完整指南
3. CSDN 14 个 Skill 设计模式
4. CSDN Vibe Coding 实战
5. 腾讯网 Skill 创建完全指南
6. Anthropic Lessons from Claude Code
7. Superpowers 实战
8. OpenSkills 仓库

十八、结语:Skills 改变的不只是工作流

来自 腾讯网 Anthropic 内部 Skill 方法论 收尾洞察:

“Skill 本质上是在做 Context Engineering。”

当 5 年后我们回望 2026,会发现:

• Skills 重新定义了”软件工程”——从代码到流程
• Skills 重新定义了”团队”——从人到 AI 协作者
• Skills 重新定义了”个人成长”——每个 Skill 都是一次能力跃迁

未来属于那些能写出好 Skill 的人。

写一个 Skill,送给未来的自己。