你给Claude Code装了个社区Skill跑了几分钟发现它在偷偷往外发请求。再查一下发现——13.4%的公开Agent Skills存在关键安全问题。这不是假设是tech-leads-club团队扫了市场上所有公开Skills后得出的数据。他们的解决方案是tech-leads-club/agent-skills——一个经过安全审查、人工策划的Agent Skills注册表。80个技能覆盖15个分类从项目规划到AWS架构到浏览器自动化到安全审查每个Skill都过三道关Snyk安全扫描、CI/CD静态分析、人工审核。100%开源无二进制文件通过lockfiles和内容哈希确保完整性。GitHub 3.8k⭐MIT开源支持18款主流AI编程工具。它跟其他Skills方案有什么不同维度tech-leads-club/agent-skillsmattpocock/skillsAnthropic/skills社区零散Skills安全审查✅ Snyk扫描静态分析人工审核❌❌❌完整性保证✅ Lockfiles内容哈希❌❌❌Agent覆盖18款Tier1/Tier2/Tier3主要是Claude Code仅Claude Code不确定技能数量80个/15分类14个17个分散审计日志✅ 完整操作记录❌❌❌缓存/离线✅ 本地缓存❌❌❌关键差异就两个字安全和通用。安全层面每个Skill发布前跑Snyk Agent ScanCI流水线自动做静态分析提示词全部经过人工审核。安装过程有路径隔离防路径遍历、符号链接防护、原子锁文件防并发冲突、完整审计日志。通用层面不像mattpocock/skills和Anthropic/skills只服务Claude Codetech-leads-club从第一天就设计成多Agent架构。一个Skill装进Claude Code、Cursor、Windsurf、GitHub Copilot都用。五分钟上手Step 1运行交互式安装器npx tech-leads-club/agent-skills安装器会引导你完成选择操作安装技能 / 更新已安装技能按类别浏览或搜索技能选择目标AgentClaude Code、Cursor、Copilot等选择安装方式复制推荐 / 符号链接选择安装范围全局 / 项目级全程交互式不需要记任何参数。Step 2或者直接命令行安装# 安装单个技能到默认Agent npx tech-leads-club/agent-skills install -s tlc-spec-driven # 安装多个技能到指定Agent npx tech-leads-club/agent-skills install -s aws-advisor coding-guidelines docs-writer -a claude-code cursor # 全局安装所有项目通用 npx tech-leads-club/agent-skills install -s playwright-skill -gStep 3安装MCP Server可选推荐把MCP Server加到你的Agent配置里就能在对话中直接浏览、搜索、加载技能Claude Code配置~/.claude.json{ mcpServers: { agent-skills: { command: npx, args: [-y, tech-leads-club/agent-skills-mcp] } } }Cursor配置.cursor/mcp.json{ mcpServers: { agent-skills: { command: npx, args: [-y, tech-leads-club/agent-skills-mcp] } } }装好MCP后在Claude Code里直接说帮我找一下有没有AWS相关的技能就行MCP会调用search_skills工具返回匹配结果。80个技能都覆盖哪些场景15个分类里挑几个最实用的说Development开发流程tlc-spec-driven项目规划四阶段Specify→Design→Tasks→Implement自动创建原子任务和验证标准支持跨会话记忆持久化coding-guidelines编码规范执行按语言和框架检查代码风格docs-writer自动生成和更新项目文档Cloud云服务aws-advisorAWS架构设计、安全审查、实施指导能调用AWS MCP工具获取官方文档Quality质量保障accessibilityWCAG 2.1无障碍审计检测屏幕阅读器兼容性、键盘导航core-web-vitalsLCP/FID/CLS性能指标优化Automation自动化playwright-skill完整的浏览器自动化测试——页面测试、表单填写、截图、UX验证Security安全security-best-practices按语言和框架做安全审查检测常见漏洞生成修复建议Go-to-Market商业化ai-cold-outreachAI驱动的冷邮件系统搭建从信号检测到个性化到送达率优化ai-pricingAI产品的定价策略设计消费计费 vs 按座计费 vs BYOKDesign设计figma通过MCP集成从Figma获取设计上下文直接转换为前端代码完整目录可以在 https://agent-skills.techleads.club/skills/ 浏览也可以用CLI查看# 列出所有技能 npx tech-leads-club/agent-skills list # 搜索技能 npx tech-leads-club/agent-skills search aws日常使用命令速查# 安装 agent-skills install -s skill-name # 安装到默认Agent agent-skills install -s skill -a cursor # 指定Agent agent-skills install -s skill -g # 全局安装 # 更新 agent-skills update -s skill-name # 更新单个 agent-skills update # 更新全部 # 移除 agent-skills remove -s skill-name # 移除单个 agent-skills rm -s skill1 skill2 skill3 # 批量移除 # 缓存管理 agent-skills cache --clear # 清除缓存 agent-skills cache --path # 查看缓存位置 # 审计 agent-skills audit # 查看操作记录 agent-skills audit -n 20 # 最近20条技能缓存位置~/.cache/agent-skills/下载一次后支持离线安装。实战用spec-driven技能跑项目这是个最值得试的技能四阶段从需求到实现# 安装 npx tech-leads-club/agent-skills install -s tlc-spec-driven -a claude-code # 重启Claude Code后直接对它说 # 我要做一个任务管理API需要用户认证、项目CRUD、任务分配功能用FastAPIPostgreSQLtlc-spec-driven会自动执行四阶段Specify帮你把模糊需求整理成结构化的功能规格Design基于规格设计技术方案数据模型、API端点、认证方案Tasks把设计拆解成原子任务列表每个任务有明确的完成标准Implement按任务列表逐个实现每个任务完成后验证中间断开了也没关系spec-driven的持久化机制让Claude Code在下次会话里能接着上次的位置继续。支持哪些AI编程工具分三个等级等级工具Tier 1Claude Code, Cline, Cursor, Windsurf, GitHub Copilot, Roo CodeTier 2Aider, Antigravity, Gemini CLI, Kilo Code, Kiro, OpenCodeTier 3Amazon Q, Augment, Droid, OpenAI Codex, Tabnine, TRAE, Sourcegraph CodyTier 1是经过完整测试的主流工具Tier 2正在完善Tier 3属于兼容支持。你用的工具基本都覆盖了。常见问题Q跟之前写过的mattpocock/skills和Anthropic/skills冲突吗A不冲突。它们装在不同的目录tech-leads-club装在.claude/skills/或.cursor/skills/mattpocock装在.claude/commands/各管各的。但建议避免安装功能重复的技能以免Claude Code混乱。Q社区贡献Skill怎么做AFork仓库在packages/skills-catalog/skills/下按分类创建目录包含SKILL.md主文件提交PR。所有提交的Skill都会走Snyk扫描静态分析人工审核流程。Q安全审查具体检查什么A三层Snyk Agent Scan扫描已知漏洞和恶意模式、CI静态分析检查代码质量和路径安全、人工审核确认提示词不含后门指令。结果记录在发布报告里。QSkill更新了怎么跟进Aagent-skills update一键更新所有已安装技能或者agent-skills update -s name只更新指定的。lockfiles机制确保每次更新的内容哈希可验证。选型建议场景推荐只用Claude Code需要专业工程规范mattpocock/skills需要多个Agent共享同一套技能tech-leads-club/agent-skills安全要求高企业/生产环境tech-leads-club/agent-skills科研领域专用K-Dense-AI/scientific-agent-skills要把任何软件变Agent工具CLI-Anything对OPC一人公司用户如果你同时用Claude Code做后端、Cursor做前端、Codex做脚本tech-leads-club是唯一能一套技能覆盖全工具链的方案。装一次三个Agent都用上同一套项目规范和最佳实践省掉大量的重复配置。相关资源GitHub仓库含CLI完整文档和安全报告Skill目录浏览MCP集成文档Snyk安全扫描报告项目地址https://github.com/tech-leads-club/agent-skills