技能 open-skills
📦

open-skills

低风险 ⚙️ 外部命令📁 文件系统访问🌐 网络访问🔑 环境变量

跨编辑器浏览和安装 AI 技能

在多个编辑器之间管理 AI Agent 技能既繁琐又耗时。Open-skills 提供了一个交互式 CLI,可通过单个命令从集中式注册表中浏览、选择并安装技能到 Claude Code、Codex 及其他支持的编辑器中。

支持: Claude Codex Code(CC)
🥉 75 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“open-skills”。 List coding-related skills

预期结果:

  • Available coding skills:
  • code-review - Automated code review and suggestions
  • refactoring-assistant - Code refactoring and improvement
  • test-generator - Generate unit tests automatically
  • documentation-gen - Auto-generate code documentation
  • Select skills with space bar, press Enter to install.

正在使用“open-skills”。 Install skills to Claude Code

预期结果:

  • Installing 3 skills to Claude Code...
  • code-review installed
  • test-generator installed
  • documentation-gen installed
  • Skills are ready to use. Restart Claude Code to activate.

正在使用“open-skills”。 Sync installed skills

预期结果:

  • Checking for updates...
  • code-review: up to date
  • test-generator: update available (v4.0 to v4.1)
  • Updating test-generator...
  • test-generator updated
  • Sync complete. 1 skill updated.

安全审计

低风险
v1 • 4/16/2026

Security evaluation confirms this is a legitimate CLI skill marketplace tool. The 2395 static findings are overwhelmingly false positives: markdown backtick documentation flagged as command execution (864 external_commands hits), example commands in documentation triggering crypto alerts, and npm lock file metadata flagged as C2 keywords or high-entropy content. The actual TypeScript implementation uses standard CLI patterns for skill installation via git clone with sparse checkout, GitHub API fetches with proper User-Agent headers, and editor adapter management. Network requests only target github.com and skillstore.io APIs. No malicious intent, credential exfiltration, or prompt injection detected.

88
已扫描文件
16,662
分析行数
9
发现项
1
审计总数

高风险问题 (1)

src/dev-server/web/index.html:239-275
XSS Risk in Dev Server HTML
The dev-server/web/index.html uses innerHTML assignments to render category names, skill descriptions, and tags directly from local data. While this is a local development admin panel not exposed to production, untrusted skill data rendered via innerHTML could execute scripts if a malicious skill were installed. Risk is limited to local development use.
低风险问题 (4)
README.md:7-100SKILL.md:11-27bundles/skills/deep-research/SKILL.md:26-675
Documentation Patterns Misidentified as Command Execution
Hundreds of markdown files contain backtick-wrapped CLI examples (e.g., `open-skills list`) which the static scanner flagged as Ruby/shell backtick execution. These are documentation examples, not actual code execution. The scanner does not distinguish between markdown code fences and executable code.
package-lock.json:70-121pnpm-lock.yaml:79-893
Lock File Entropy and C2 Keyword False Positives
package-lock.json and pnpm-lock.yaml contain base64-encoded package integrity hashes and npm package names that triggered obfuscation and C2 keyword alerts. These are standard npm package manager artifacts, not indicators of compromise.
bundles/skills/deep-research/ARCHITECTURE_REVIEW.md:4-474
Weak Crypto Alerts in Documentation
Static scanner flagged markdown files for weak cryptographic algorithm references. These appear in documentation examples and architecture descriptions, not actual cryptographic implementation code.
src/cli.ts:19
Environment Variable Access for Dev Mode
src/cli.ts reads process.env.OPEN_SKILLS_DEV to enable development server mode. This is a standard pattern for CLI tools and poses no security risk as it only controls local dev server startup.

风险因素

⚙️ 外部命令 (3)
src/commands/create.ts:39-46 src/commands/install.ts:135-153 src/core/github-utils.ts:35-110
📁 文件系统访问 (2)
src/commands/install.ts:1-10 src/core/engine.ts:60-69
🌐 网络访问 (2)
src/core/github-utils.ts:35 src/core/resolvers/skillstore-resolver.ts:71
🔑 环境变量 (1)
src/cli.ts:19
审计者: claude

质量评分

59
架构
100
可维护性
87
内容
50
社区
72
安全
100
规范符合性

你能构建什么

快速发现与安装技能

开发者想要为 AI 助手添加新的编程技能。他们浏览分类,选择多个相关技能,然后通过一条命令完成安装。

团队技能标准化

开发团队负责人导出技能配置并与团队成员分享,以确保团队内 AI 助手能力的一致性。

跨编辑器技能迁移

开发者从一个 AI 编辑器切换到另一个时,导入现有的技能配置以快速搭建新环境。

试试这些提示

浏览可用技能 
Show me all available skills for coding tasks
搜索特定技能 
Search for skills related to testing or debugging
安装多个技能 
Install the code review, testing assistant, and documentation generation skills to Claude Code
与注册表同步技能 
Sync all my installed skills with the latest versions from the registry

最佳实践

  • 安装前检查技能权限,了解该技能需要哪些访问权限
  • 先在非关键项目中测试新技能,确认其运行符合预期
  • 保持技能注册表同步,以便及时获取安全更新和新功能

避免

  • 避免从已验证注册表之外的不可信来源安装技能
  • 不要忽略技能兼容性警告——不兼容的技能可能无法正常运行
  • 避免在未审查功能的情况下批量安装大量技能

常见问题

open-skills 支持哪些编辑器?
Open-skills 支持 Claude Code、Codex、Cursor、Windsurf、Cline 和 Roo Code。未来计划支持更多编辑器。
如何创建和分享我自己的技能?
使用 create 命令来搭建新技能。技能遵循标准结构,使用 SKILL.md 存放指令,可通过 GitHub 或技能注册表进行分享。
我可以离线安装技能吗?
可以,您可以使用 install 命令配合本地路径,从本地文件或目录安装技能。
如何移除已安装的技能?
使用 update 命令来管理技能移除,或从编辑器的技能文件夹中手动删除技能目录。
注册表中的技能是否安全?
注册表会对技能进行安全审查,但安装前请务必查看技能权限和代码。如发现可疑技能,请向维护者报告。
如何更新单个技能?
使用 sync 命令加上技能名称,即可将特定技能更新至最新版本。

开发者详情

作者

lumacoder

许可证

MIT

仓库

https://github.com/lumacoder/open-skills/tree/main/

引用

main

文件结构

📁 bundles/

📁 skills/

📁 deep-research/

📁 reference/

📁 scripts/

📁 templates/

📁 tests/

📄 ARCHITECTURE_REVIEW.md

📄 AUTONOMY_VERIFICATION.md

📄 COMPETITIVE_ANALYSIS.md

📄 CONTEXT_OPTIMIZATION.md

📄 QUICK_START.md

📄 requirements.txt

📄 SKILL.md

📄 WORD_PRECISION_AUDIT.md

📁 docs/

📄 ide-engine.md

📄 PRD-V1.md

📄 PRD-V2.md

📄 PRD-V3.md

📁 registry/

📁 _v2_backup/

📄 _index.yaml

📄 docker-basics.yaml

📄 node-api-design.yaml

📄 react-best-practices.yaml

📄 test.yaml

📄 typescript-patterns.yaml

📄 web-security.yaml

📄 skills.json

📁 scripts/

📄 validate-registry.ts

📁 src/

📁 commands/

📄 create.ts

📄 dev-panel.ts

📄 export.ts

📄 import.ts

📄 install.ts

📄 list.ts

📄 migrate.ts

📄 search.ts

📄 sync.ts

📄 update.ts

📄 validate.ts

📁 core/

📁 adapters/

📄 antigravity-adapter.ts

📄 base-adapter.ts

📄 claude-adapter.ts

📄 cline-adapter.ts

📄 cursor-adapter.ts

📄 cursor-skills-adapter.ts

📄 hermes-adapter.ts

📄 index.ts

📄 roo-cline-adapter.ts

📄 windsurf-adapter.ts

📁 dev/

📄 scaffold.ts

📁 presets/

📄 editors.ts

📁 resolvers/

📄 clawhub-resolver.ts

📄 github-resolver.ts

📄 remote-resolver.ts

📄 skillstore-resolver.ts

📄 cleaner.ts

📄 engine.ts

📄 fs-utils.ts

📄 github-utils.ts

📄 marker-system.ts

📄 registry-v3.ts

📄 registry.ts

📄 transformer.ts

📄 validator.ts

📁 dev-server/

📁 web/

📄 index.html

📄 api.ts

📄 server.ts

📁 types/

📄 index.ts

📁 ui/

📄 category-select.ts

📄 confirm-panel.ts

📄 editor-select.ts

📄 scope-select.ts

📄 skill-select.ts

📄 cli.ts

📄 package-lock.json

📄 package.json

📄 pnpm-lock.yaml

📄 README.md

📄 SKILL.md

📄 tsconfig.json

📄 tsup.config.ts