📦

antfu

Name: antfu
Author: antfu

Riesgo medio ⚙️ Comandos externos🌐 Acceso a red📁 Acceso al sistema de archivos

Aplicar las preferencias de desarrollo web de Antfu

Los proyectos modernos de JavaScript necesitan elecciones de herramientas coherentes para linting, pruebas, builds y configuración de releases. Esta habilidad aplica las convenciones opinadas de Anthony Fu para TypeScript, Vue, pnpm, ESLint, Vitest y la estructura de proyecto relacionada.

Soporta: Claude Codex Code(CC)

⚠️ 50 Deficiente

Descargar el ZIP de la skill

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

Activa y empieza a usar

Recursos legibles por agentes

Usa estos enlaces cuando un AI Agent, crawler o script necesite contexto limpio en lugar de leer toda la página.

Detalle Markdown GET /skills/antfu-antfu.md Manifest firmado GET /api/skills/antfu-antfu/manifest Lockfile firmado GET /api/skills/antfu-antfu/lockfile

Pruébalo

Usando "antfu". Configura linting para una nueva app TypeScript.

Resultado esperado:

El asistente explica la configuración de @antfu/eslint-config, agrega una configuración plana de ESLint, sugiere un script de lint y señala cuándo se necesitan plugins adicionales de framework.

Usando "antfu". Prepara un paquete para publicar una biblioteca ESM.

Resultado esperado:

El asistente recomienda tsdown, campos de paquete ESM, salida de declaraciones, Vitest, builds prepack y un script de release con notas de revisión.

Usando "antfu". Agrega CI a un repositorio usando este estilo.

Resultado esperado:

El asistente describe flujos de trabajo de autofix, pruebas unitarias y release, y luego destaca la revisión de flujos de terceros y permisos de publicación antes de habilitar la automatización de releases.

Auditoría de seguridad

Riesgo medio

v2 • 6/28/2026

Static analysis heavily over-counted Markdown examples as Ruby backticks, weak cryptography, reconnaissance, and credential access. Most findings are false positives from documentation and code snippets, but the skill does recommend package-manager commands and third-party reusable GitHub Actions workflows, including release permissions that require user review.

Archivos escaneados

960

Líneas analizadas

hallazgos

Auditorías totales

Problemas de riesgo medio (2)

references/github-actions.md:60-68

Third-Party Reusable Release Workflow

The skill recommends sxzz/workflows for GitHub Actions and a release workflow with contents: write and id-token: write. This is not malicious by itself, but it creates supply-chain and publishing risk if users add it without reviewing the referenced workflow.

SKILL.md:130-136 references/antfu-eslint-config.md:273-275 references/library-development.md:74-76

Project Commands and Hook Scripts Require Approval

The skill recommends package-manager commands, npx commands, pre-commit hooks, build scripts, and release scripts. These are normal development instructions, but generated project automation can execute dependencies and should be approved before running.

Problemas de riesgo bajo (3)

SKILL.md:19-23 references/antfu-eslint-config.md:13-20 references/app-development.md:34-36

Markdown Code Span False Positives

The many external command, weak cryptography, and reconnaissance alerts are caused by Markdown code spans, file names, rule names, and framework examples. I found no executable skill script, dynamic code execution, or malicious instruction in those locations.

references/gitignore.md:8-17

Environment File Reference Is Protective

The sensitive .env finding is a .gitignore recommendation that excludes environment files from version control. This reduces accidental secret disclosure and is not evidence of environment variable access.

references/monorepo.md:86-93

Local Filesystem Example Is Scoped Configuration Generation

The Node.js filesystem operations read and update tsconfig.alias.json to keep TypeScript path aliases synchronized. This is local project configuration code with no network sink or credential access.

Factores de riesgo

⚙️ Comandos externos (5)

SKILL.md:68 SKILL.md:130-136 SKILL.md:174 references/antfu-eslint-config.md:273-275 references/library-development.md:74-76

🌐 Acceso a red (2)

references/github-actions.md:60-68 references/antfu-eslint-config.md:326-327

📁 Acceso al sistema de archivos (4)

references/github-actions.md:12-21 references/github-actions.md:28-43 references/github-actions.md:48-60 references/monorepo.md:86-93

Patrones detectados

Reusable Workflow With Publishing PermissionsGenerated Scripts Execute Development Tooling

Auditado por: codex Ver historial de auditorías →

Puntuación de calidad

Arquitectura

100

Mantenibilidad

Contenido

Comunidad

Seguridad

Cumplimiento de la especificación

Lo que puedes crear

Iniciar una app web con TypeScript

Configura Vue, Vite o Nuxt, UnoCSS, TypeScript estricto y linting usando las preferencias documentadas.

Estandarizar un monorepo de JavaScript

Aplica workspaces de pnpm, scripts compartidos, aliases centralizados y linting coherente en varios paquetes.

Preparar una biblioteca para publicación

Usa tsdown, configuración de paquete solo ESM, Vitest, scripts de release y plantillas de GitHub Actions.

Prueba estos prompts

Crear una configuración básica de proyecto

Aplica las preferencias antfu a este nuevo proyecto de TypeScript. Agrega el gestor de paquetes recomendado, configuración estricta de TypeScript, configuración de ESLint y scripts básicos.

Configurar una aplicación Vue

Revisa esta app Vue y actualízala hacia el estilo antfu. Enfócate en script setup, props y emits de TypeScript, UnoCSS, VueUse y linting.

Modernizar un paquete de biblioteca

Convierte esta biblioteca TypeScript al estilo de publicación antfu. Usa ESM puro, tsdown, declaraciones generadas, Vitest y scripts de release claros.

Auditar un plan de migración de monorepo

Compara este monorepo con las convenciones antfu. Propón cambios para workspaces de pnpm, catalogs, scripts recursivos, aliases, pruebas y CI. Marca cualquier automatización riesgosa antes de agregarla.

Mejores prácticas

Revisa los scripts, hooks y flujos de CI generados antes de ejecutarlos o confirmarlos.
Usa la habilidad cuando quieras un estilo coherente en TypeScript, Vue, linting, pruebas y configuración de releases.
Fija e inspecciona los flujos de trabajo de GitHub Actions de terceros antes de conceder permisos de escritura u OIDC.

Evitar

No apliques todas las recomendaciones a ciegas en proyectos con estándares de equipo ya establecidos.
No habilites flujos de release sin revisar las credenciales de publicación y los permisos del repositorio.
No ejecutes comandos de gestores de paquetes ni comandos npx desde la salida generada sin aprobación del usuario.

Preguntas frecuentes

¿En qué ayuda esta habilidad?

Ayuda a aplicar las preferencias opinadas de Anthony Fu para flujos modernos de TypeScript, Vue, pnpm, ESLint, pruebas, documentación y publicación.

¿Reemplaza las decisiones de arquitectura específicas del proyecto?

No. Proporciona orientación sobre herramientas y convenciones, pero la arquitectura del proyecto aún requiere criterio de producto y del equipo.

¿Esto es solo para proyectos Vue?

No. Incluye orientación para apps Vue, pero también cubre bibliotecas TypeScript, monorepos, ESLint, Vitest, VitePress y GitHub Actions.

¿Por qué la calificación de seguridad es media?

La habilidad se centra en documentación, pero recomienda scripts ejecutables y flujos de release de terceros con permisos de escritura.

¿Pueden usarla Claude, Codex o Claude Code?

Sí. El informe marca compatibilidad con Claude, Codex y Claude Code.

¿Qué deben revisar los usuarios antes de aplicar cambios?

Los usuarios deben revisar comandos de gestores de paquetes, hooks generados, permisos de GitHub Actions y automatización de releases antes de habilitarlos.