技能 blocklet-updater
📦

blocklet-updater

中風險 ⚙️ 外部命令

安全發布 Blocklet 專案

當版本設定、建置輸出或中繼資料未對齊時,Blocklet 發布步驟可能會失敗。此技能會引導 Claude、Codex 和 Claude Code 執行可重複的發布工作流程,並在打包前進行驗證。

支援: Claude Codex Code(CC)
📊 74 合格
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

Agent 可讀資源

當 AI Agent、爬蟲或腳本需要乾淨上下文、而不是讀取完整頁面時,請使用這些連結。

Markdown 詳情 GET /skills/arcblock-blocklet-updater.md 已簽名 manifest GET /api/skills/arcblock-blocklet-updater/manifest 已簽名 lockfile GET /api/skills/arcblock-blocklet-updater/lockfile

測試它

正在使用「blocklet-updater」。 升級並打包這個 Blocklet。

預期結果:

版本已升級,相依套件已安裝,建置成功,中繼資料驗證通過,並且已建立發布 bundle。

正在使用「blocklet-updater」。 建立發布,但建置輸出已移到 build。

預期結果:

工作流程會在 build 目錄中找到進入點、更新 main field、驗證中繼資料,並建立 bundle。

正在使用「blocklet-updater」。 發布這個靜態 Blocklet 專案。

預期結果:

工作流程會略過建置、確認根目錄進入點、驗證 Blocklet 中繼資料,並建立發布 bundle。

安全審計

中風險
v6 • 6/28/2026

The static Ruby backtick and weak cryptography findings are false positives from markdown prose, inline code, and fenced command examples. The skill has a real medium-risk behavior because it instructs the agent to run blocklet and pnpm commands, including dependency installation and project build scripts, inside the user workspace.

3
已掃描檔案
183
分析行數
3
發現項
6
審計總數
中風險問題 (1)
SKILL.md:14-16SKILL.md:28-30SKILL.md:56-58SKILL.md:64-66
Project-Controlled Commands During Release Workflow
The workflow directs the agent to run blocklet version, pnpm install, pnpm run build, blocklet meta, and blocklet bundle commands. This is legitimate release automation, but pnpm install and build scripts can execute code from the current project and its dependencies, so users should apply it only in trusted repositories.
低風險問題 (1)
SKILL.md:3SKILL.md:14-16examples.md:5-17errors.md:11-16
Static Command and Crypto Alerts Are Markdown False Positives
The analyzer reported Ruby backtick execution and weak cryptography indicators, but the referenced files are markdown documentation, front matter, inline command names, and fenced shell examples. No Ruby code, cryptographic operation, obfuscation, or malware intent was found in these files.

風險因素

⚙️ 外部命令 (7)
SKILL.md:14-16 SKILL.md:28-30 SKILL.md:56-58 SKILL.md:64-66 examples.md:9-16 examples.md:40-49 errors.md:11-16

偵測到的模式

Shell Command Execution Required by Workflow
審計者: codex 查看審計歷史 →

品質評分

55
架構
100
可維護性
87
內容
71
社群
58
安全
91
規範符合性

你能建構什麼

準備例行修補版本發布

升級 Blocklet 版本、建置應用程式、驗證中繼資料,並建立發布 bundle。

修正發布輸出對齊

尋找產生的 index.html,並在 main field 指向錯誤目錄時更新 blocklet.yml。

驗證靜態 Blocklet

略過靜態專案的建置步驟,檢查根目錄進入點,並在中繼資料驗證後打包。

試試這些提示

基本 Blocklet 發布 
為這個 Blocklet 專案建立新的修補版本發布。如果任何驗證或建置步驟失敗,請停止。
建置與打包 
升級 Blocklet 版本、安裝相依套件、執行建置、驗證中繼資料,並建立發布 bundle。
修復 Main Field 
準備 Blocklet 發布,並檢查 blocklet.yml main 是否符合包含 index.html 的目錄。
稽核發布就緒狀態 
執行完整的 Blocklet 發布工作流程,使用失敗的確切命令說明任何失敗,並且在所有檢查通過前不要打包。

最佳實務

  • 在開始發布前,於乾淨的 working tree 中執行此技能。
  • 允許安裝或建置命令前,先審查 package scripts 和相依套件變更。
  • 發布前檢查產生的 bundle 和 blocklet.yml 變更。

避免

  • 不要在不可信任的 repository 中執行此工作流程。
  • 不要在建置失敗、中繼資料檢查失敗或缺少進入點後打包。
  • 不要用它將非 Blocklet 專案轉換為 Blocklets。

常見問題

此技能會自動化哪些事項?
它會自動化修補版本升級、選用建置步驟、進入點檢查、中繼資料驗證,以及發布 bundle 建立。
它會修改專案檔案嗎?
會。它可以升級專案版本,並在輸出目錄未對齊時更新 blocklet.yml main field。
為什麼安全風險是中等?
此工作流程會執行外部命令,包括相依套件安裝和專案 build scripts,這些命令可能會執行 repository 中的程式碼。
它可以處理沒有 build script 的專案嗎?
可以。當沒有 build script 時,它會略過相依套件安裝和建置步驟。
當缺少 index.html 時會發生什麼事?
工作流程會停止,並報告在預期的輸出目錄中找不到進入點。
哪些工具可以使用此技能?
報告會將它標記為與 Claude、Codex 和 Claude Code 相容。

開發者詳情

作者

ArcBlock

授權

MIT

儲存庫

https://github.com/ArcBlock/agent-skills/tree/main/plugins/blocklet/skills/blocklet-updater

引用

main

檔案結構

📄 errors.md

📄 examples.md

📄 SKILL.md