🔍

find-skills

Name: find-skills
Author: agentspace-so

مخاطر منخفضة ⚙️ الأوامر الخارجية🌐 الوصول إلى الشبكة📁 الوصول إلى نظام الملفات🔑 متغيرات البيئة

あらゆるレジストリから最適なエージェントスキルを発見

متاح أيضًا من: vercel-labs

一つのスキルレジストリだけを検索すると偏った答えになります — あるサイトの1位結果はインストール数が50件なのに、1,300件のインストール数を持つ同等のスキルが別のサイトでは未ランクの場合があります。このスキルはskills.sh、clawhub.ai、GitHubを並列にクエリし、各レジストリをそれぞれのネイティブ指標でランキングし、上位候補をセキュリティスキャンすることで、真に最適なマッチを推薦します。

يدعم: Claude Codex Code(CC)

📊 71 كافٍ

تنزيل ZIP المهارة

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

فعّل وابدأ الاستخدام

اختبرها

استخدام "find-skills". Find a skill for react performance

النتيجة المتوقعة:

TOP OF EACH BOARD
skills.sh: react-perf-toolkit (owner/repo) — 12,400 installs · match 67%
clawhub: react-perf-toolkit — 8,200 installs · ★ 340 · match 67%
github: facebook/react (14k★) · match 33%
ALREADY ON YOUR MACHINE: react-perf-toolkit ✓ INSTALLED
skills.sh results: [1] react-perf-toolkit ✓ INSTALLED — 12,400 installs · ✓ clean
[2] perf-react-suite — 3,100 installs · ⚠ caution [reads-secrets]

استخدام "find-skills". Find skills for pdf form filling --scan 3

النتيجة المتوقعة:

security scan results:
[1] pdf-form-filler — ⚠ caution [broad-tool-grant]
[2] fillpdf-pro — ✓ clean
[3] pdf-form-helper — ⛔ RISKY [curl-pipe-install, reads-secrets]

التدقيق الأمني

مخاطر منخفضة

v1 • 6/6/2026

After evaluating all 220 static findings, the vast majority are false positives. The CRITICAL 'dangerous combination' heuristic fires because the script has external_commands, network, and env_access patterns — but the env_access hits are grep PATTERNS inside the built-in security scanner (line 164 checks if OTHER skills reference ~/.ssh, ~/.aws, .env, or private keys), not actual credential reads. All network calls are read-only GETs to public registries (skills.sh, clawhub.ai, raw.githubusercontent.com). The 'weak crypto' hits are false positives from keywords like 'hash' and 'key' in scanner regexes. This is a well-designed, defensive discovery tool with no malicious intent.

الملفات التي تم فحصها

434

الأسطر التي تم تحليلها

النتائج

إجمالي عمليات التدقيق

مشكلات متوسطة المخاطر (2)

scripts/find.sh:164

Security scanner references sensitive path patterns

Line 164 in scripts/find.sh contains a grep pattern matching '~/.ssh', '~/.aws', '/.env', 'id_rsa', 'AWS_SECRET', 'PRIVATE_KEY'. This is the built-in security scanner that DETECTS if other skills reference these — it does NOT read or transmit any user credentials. False positive: pattern matching, not credential access.

scripts/find.sh:54-57 scripts/find.sh:65 scripts/find.sh:73-76

Shell command substitution patterns

The script uses $(...) command substitution extensively (e.g., $(now_ms), $(wc -l ...), $(date +...)). These are standard shell scripting patterns. User input is safely URL-encoded via jq before being used in URLs, eliminating command injection risk. No unquoted user input is passed to eval or similar dangerous constructs.

مشكلات منخفضة المخاطر (2)

scripts/find.sh:61

Reads installed skills directories

The script reads ~/.agents/skills and ~/.claude/skills to detect already-installed skills. This is the explicitly documented purpose of the tool and is read-only.

scripts/find.sh:74 scripts/find.sh:87 scripts/find.sh:177

Hardcoded registry API URLs

URLs to skills.sh, clawhub.ai, and raw.githubusercontent.com are hardcoded. This is intentional — the tool queries these specific registries by design.

عوامل الخطر

⚙️ الأوامر الخارجية (7)

scripts/find.sh:11 scripts/find.sh:54-57 scripts/find.sh:74-76 scripts/find.sh:87-88 scripts/find.sh:101-102 scripts/find.sh:121 scripts/find.sh:142-147

🌐 الوصول إلى الشبكة (7)

scripts/find.sh:74 scripts/find.sh:80 scripts/find.sh:87 scripts/find.sh:93 scripts/find.sh:98 scripts/find.sh:177 scripts/find.sh:181

📁 الوصول إلى نظام الملفات (4)

scripts/find.sh:51-52 scripts/find.sh:56 scripts/find.sh:61 scripts/find.sh:64

🔑 متغيرات البيئة (1)

scripts/find.sh:164

تم تدقيقه بواسطة: claude

درجة الجودة

الهندسة المعمارية

100

قابلية الصيانة

المحتوى

المجتمع

الأمان

الامتثال للمواصفات

ماذا يمكنك بناءه

ゼロから構築する前に既存のスキルを発見

一般的な機能を実装する前に、すべての主要レジストリを横断して公開済みのスキルがすでにカバーしていないか確認します。

サードパーティ製スキルの安全性を審査

内蔵のセキュリティスキャナを使用して、curl-pipe-installやシークレットファイルアクセスなどの危険なパターンを持つスキルを、推薦前に特定します。

特定のニーズに対して最もメンテナンスされているスキルを見つける

レジストリ横断でインストール数、スター数、メンテナンスシグナルを比較し、デプロイ、テスト、ドキュメンテーション、ドメインワークフロー向けのサポートが充実しているスキルを見つけます。

جرّب هذه الموجهات

基本的なスキル検索

Find a skill for React performance optimization

スキャン上限を指定した絞り込み検索

Find skills for PDF form filling, show me the top 8 results and scan 5 for security

複数語の関連語彙検索

Run adjacent searches for 'frontend design', 'design system', and 'tailwind shadcn' to find the best UI/UX skill

自動化向け機械可読出力

Find skills for video generation and output as JSON with no security scan

أفضل الممارسات

結論を出す前に2〜3件の関連語検索を実行する — レジストリは意味でなく名前でインデックスされるため、「ui ux design」では見つからない443kインストールのスキルが「frontend design」で見つかる場合がある
推薦前に必ず上位2〜3候補の実際のSKILL.mdを読む — メタデータだけでは誤解を招く可能性がある
⛔ RISKYと判定されたスキルを、検出された具体的な危険パターンについてユーザーに明示的に警告せずに推薦しない

تجنب

単一レジストリのランキングを信頼しない — あるサイトでインストール数50件で1位になっているスキルが、別のサイトでは1,300件の同等のスキルが未ランクである可能性がある
セキュリティスキャンのバッジを保証として扱わない — ヒューリスティックなパターンチェックであり、完全なセキュリティ監査ではない
マッチ率だけで推薦しない — キーワード100%マッチのリポジトリも、実際に読むとトピック外である可能性がある