技能 shirushi
📦

shirushi

中风险 ⚙️ 外部命令

管理仓库文档 ID

当 ID 漂移、引用失效或元数据未经审查就发生变化时,团队会失去对文档的信任。Shirushi 为 Claude、Codex 和 Claude Code 提供用于验证、分配和跟踪不可变文档 ID 的工作流。

支持: Claude Codex Code(CC)
📊 73 合格
1

下载技能 ZIP

2

在 Claude 中上传

前往 Settings → Capabilities → Skills → Upload skill

3

开启并开始使用

Agent 可读资源

当 AI Agent、爬虫或脚本需要干净上下文,而不是读取完整页面时,请使用这些链接。

测试它

正在使用“shirushi”。 在我打开 pull request 之前验证我的分支。

预期结果:

该分支通过了 doc_id 格式检查。两个 @see 引用需要审查,因为它们的目标文档已发生变化。

正在使用“shirushi”。 查找 API-SPEC-2025-0001-G。

预期结果:

该文档 ID 解析为带有 frontmatter 元数据的 API 规范。结果包括其仓库路径和当前哈希状态。

正在使用“shirushi”。 为新文档分配 ID。

预期结果:

已使用配置的 component、kind、year、serial 和 check digit 规则分配新 ID。提交前请审查 Git diff。

安全审计

中风险
v6 • 6/28/2026

Static analysis flagged many backtick examples as Ruby or shell execution, but the file is Markdown documentation for a CLI workflow. No malicious intent, network access, credential handling, or prompt injection was found. Risk remains medium because the skill directs agents to run external commands that can inspect and modify repository files.

1
已扫描文件
99
分析行数
5
发现项
6
审计总数
中风险问题 (1)
External CLI Commands Can Modify Repository Files
The skill instructs agents to run shirushi commands. Validation and display commands appear safe, but assign and rehash workflows can change document metadata or content hashes in the working repository.
低风险问题 (3)
Static Backtick Execution Findings Are Markdown Examples
The static analyzer flagged inline backticks and fenced examples as Ruby or shell execution. In context, these are documentation examples for the shirushi CLI, not executable code embedded in the skill.
Weak Cryptography Finding Not Confirmed
The scanner reported a weak cryptographic algorithm at the description line, but that line only describes document ID management. The checksum configuration later names mod26AZ, which is an identifier check digit, not a security control.
System Reconnaissance Findings Are Domain-Specific Lookups
The flagged show, scan, and reference examples operate on document metadata within the repository. No evidence found of host enumeration, credential discovery, process listing, or other system reconnaissance.

检测到的模式

Agent-Run External Commands
审计者: codex 查看审计历史 →

质量评分

55
架构
100
可维护性
85
内容
70
社区
54
安全
91
规范符合性

你能构建什么

合并前验证文档

在 pull request 合并前运行 doc_id 和引用检查。

为新规范分配 ID

使用仓库格式为新的 Markdown 文件添加稳定的文档 ID。

在代码审查期间追踪引用

查找 @see docid 引用背后的文档,并审查相关元数据。

试试这些提示

检查文档 ID
使用 Shirushi skill 验证此仓库中的文档 ID。先运行最安全的 lint 命令,并总结所有问题。
查找一个文档
使用 Shirushi 查找文档 API-SPEC-2025-0001-G。报告文档路径、标题、类型以及任何引用警告。
准备新文档
使用 Shirushi 为 docs/ 下的新文件分配 doc_ids。显示你计划运行的命令,然后审查生成的 Git diff。
审计 pull request
使用 Shirushi 针对 origin/main 对此分支进行 lint,并包含引用检查。按损坏的 ID、已更改的哈希和缺失的引用对发现的问题分组。

最佳实践

  • 在提交文档更改前运行 lint。
  • 在 assign 或 rehash 命令后审查 Git diff。
  • 保持 .shirushi.yml 与仓库文档类型一致。

避免

  • 不要在未先检查工作树的情况下运行会修改内容的命令。
  • 不要将校验位视为加密完整性保护。
  • 不要在发布后手动重写不可变的 doc_ids。

常见问题

此 skill 帮助管理什么?
它有助于在 Git 仓库中管理不可变文档 ID、文档元数据、哈希和 @see docid 引用。
它会安装 Shirushi 吗?
不。此 skill 假设 shirushi 命令已安装并可在仓库环境中使用。
它会更改文件吗?
会。assign 和 rehash 等命令可能会修改仓库文件,因此运行后请审查 diff。
它需要特定的文件格式吗?
已记录的工作流在 Markdown 文件中使用 YAML frontmatter,并在 .shirushi.yml 中进行配置。
checksum 是安全功能吗?
不是。已记录的 mod26AZ checksum 是文档 ID 校验位,不是加密保护。
哪些 AI 工具可以使用它?
报告列出了对 Claude、Codex 和 Claude Code 的支持。

开发者详情

文件结构

📄 SKILL.md