分类 专业技能 下的文章

AI 代理的 API 工具发现与调用引擎,覆盖金融、数据、媒体生成等专业 API,需 QVERIS_API_KEY

基本信息

  • 技能名称?QVeris Official
  • 中文名称?AI 代理的万能工具箱
  • 作者?linfangw
  • 分类?专业技能
  • 版本?1.0.9
  • 标签?api-discovery, tool-calling, data-integration, automation, financial-data, web-extraction

使用方法

使用说明
核心用法
QVeris 是专为 AI 代理设计的 能力发现与工具调用引擎 ,采用「先发现、后调用」的两步工作流:

  1. discover — 通过英文能力描述搜索 API 工具,返回候选工具列表(含成功率、执行耗时、参数说明等元数据)
  2. call — 选定工具后传入参数执行,获取结构化 JSON 数据
    支持四级调用方案:原生工具 → http_request → Node 脚本 → Web 搜索回退,确保环境兼容性。
    典型应用场景
    金融数据 :实时股价、加密货币、外汇汇率、财报数据
    数据服务 :经济指标、天气、空气质量、地理位置
    内容生成 :文生图、TTS、OCR、视频生成、PDF 处理
    学术研究 :论文检索、临床试验数据
    Web 能力 :网页提取、搜索 API
    关键设计原则
    工具描述 ≠ 信息查询 :发现查询必须是「API 能力类型」描述(如 "stock quote real-time API" ),而非具体问题(如 "AAPL 股价多少" )
    事实性问题应使用 web_search ,结构化数据需求优先用 QVeris
    多语言用户请求需转换为英文工具类型描述
    显著优点
    | 优势 | 说明 | |------|------| | 结构化数据质量 | 直接返回 JSON,避免网页解析的噪声与脆弱性 | | 专业 API 聚合 | 覆盖数千个专业 API,无需单独配置多个服务 | | 多层级降级 | 从原生工具到 HTTP 到脚本,适应不同安全环境 | | 工具元数据透明 | 成功率、耗时、参数说明辅助选型 | | 缓存复用机制 | 记录 tool_id 后可通过 inspect 直接调用 | 潜在局限
    认知门槛 :用户需区分「工具发现」与「信息搜索」两种模式,易误用
    英文查询限制 :非英语请求需转换能力描述,增加使用摩擦
    API Key 依赖 :完全依赖外部服务,无离线能力
    参数调试成本 :失败多为参数格式问题,需反复尝试
    实时性不确定 :工具成功率/耗时为历史统计,非实时保证
    适合人群
    需 结构化专业数据 的 AI 代理开发者(量化分析、财经、科研)
    需要 非原生能力 (图像生成、OCR、TTS)但不愿单独对接服务商的用户
    企业级 AI 工作流中需 统一工具发现层 的架构师
    常规风险
    | 风险类型 | 说明 | |----------|------| | 认证泄露 | QVERIS_API_KEY 需在环境中配置,存在泄露风险 | | 数据溯源 | 依赖第三方 API,数据质量与合规性由底层服务商决定 | | 成本不可控 | 专业 API 调用可能产生费用,需监控用量 | | 服务依赖 | qveris.ai 单点依赖,网络或平台故障将完全不可用 | | 结果截断 | 大数据量返回 full_content_file_url,需额外处理流程 |

为AI搜索引擎优化的内容策略框架,帮助网站在ChatGPT、Perplexity、Claude等LLM回答中获得引用,强调结构化数据和权威性信号

基本信息

  • 技能名称?GEO Optimization
  • 中文名称?让AI搜索引擎主动引用你的内容
  • 作者?capt-marbles
  • 分类?专业技能
  • 版本?1.1.0
  • 标签?geo, seo, ai-search, content-optimization, llm-visibility, perplexity, chatgpt, claude, google-ai-overviews, schema-markup, entity-optimization

使用方法

使用说明
核心用法
GEO(Generative Engine Optimization)是一套针对AI搜索引擎优化的方法论,目标是让内容在ChatGPT、Perplexity、Claude、Google AI Overviews等平台的回答中被引用。核心策略围绕 可解析性、可引用性、权威性 展开:
关键优化维度:
实体清晰度 :首段明确定义实体身份,保持维基百科式客观语调
可引用事实 :使用具体数字("0.5秒"而非"快速"),提供来源,关键事实独立成句
FAQ覆盖 :匹配用户向LLM提问的方式,覆盖"是什么/如何/为什么/对比"类问题
对比定位 :创建对比表格,明确命名竞争对手,呈现客观差异
结构清晰 :H1→H2→H3层级、表格、短段落(2-4句)、顶部/底部摘要
权威信号 :作者资质、客户案例、第三方提及、更新日期
新鲜度 :内容标注更新日期,反映当前年份,定期维护
平台差异化策略:
Perplexity:域名权重+新鲜度信号+被其他权威源引用
ChatGPT/SearchGPT:Bing索引、E-E-A-T、对话式结构、FAQ格式
Google AI Overviews:传统SEO+精选摘要、Schema标记、移动优先
Claude:训练数据质量、维基百科提及、技术准确性
技术实现: 提供Organization/FAQ/Product等Schema标记模板, /llms.txt 协议,以及基于Perplexity API的自动化监测脚本。
显著优点

  1. 前瞻性定位 :GEO是SEO的自然演进,精准捕捉AI搜索崛起的趋势,方法论基于普林斯顿等学术研究
  2. 实操性强 :提供70项检查清单、3套内容模板、平台-specific策略,从审计到执行全覆盖
  3. 量化评估 :60分制评分体系,明确区分"优秀/良好/需改进/重大整改"四级 readiness
  4. 自动化支持 :内置Python监测脚本,可追踪引用率、发现内容缺口、评估优化效果
  5. 跨平台兼容 :不绑定单一AI搜索平台,覆盖Perplexity、ChatGPT、Google AI Overview、Claude四大主流
    潜在缺点与局限性
  6. 快速演变风险 :AI搜索算法更新频繁,平台排名机制可能剧变(如Google AI Overviews已多次调整)
  7. 平台黑盒问题 :LLM引用逻辑不透明,"为什么被引用/不被引用"难以归因,优化效果存在滞后性(3-7天)
  8. 过度结构化陷阱 :为迎合LLM解析而牺牲人类阅读体验,可能降低实际转化率
  9. 监测成本 :自动化脚本依赖Perplexity API,规模化监测产生费用;免费替代方案(手动追踪)耗时
  10. 伦理争议 :"Alternative to X"类内容的客观性边界模糊,可能滑向隐蔽营销
  11. 训练数据局限 :Claude等模型的引用受训练数据截止日期限制,部分优化策略(如新鲜度)对纯离线模型无效
    适合人群
    内容营销团队 :需要将现有SEO内容升级为AI搜索友好格式
    SaaS/工具类产品 :高度依赖"竞品对比"和"替代方案"类搜索场景
    技术文档写作者 :追求结构清晰、事实准确的知识型内容
    SEO专家 :寻求AI时代的技能延伸,避免传统SEO技能贬值
    初创公司 :预算有限,希望通过AI搜索获得不对称曝光机会
    常规风险
    | 风险类型 | 具体表现 | 缓解建议 | |---------|---------|---------| | 算法依赖 | 平台调整引用机制导致策略失效 | 保持SEO基础能力,不All-in GEO | | 内容同质化 | 所有网站采用相同模板,差异化消失 | 在结构化框架内注入独特洞察和数据 | | 新鲜度维护成本 | 持续更新产生运营负担 | 聚焦高价值页面,批量更新低优先级内容 | | 虚假权威 | 操纵Schema标记或第三方提及 | 坚持真实数据,避免黑帽手法 | | 监测误报 | API返回不稳定,引用率数据波动 | 结合多源验证,关注趋势而非单日数据 |

本地运行 ComfyUI 工作流,支持自定义提示词、模型下载与 API 调用,适合高阶 AI 图像生成需求

基本信息

  • 技能名称?ComfyUI
  • 中文名称?本地 ComfyUI 工作流运行与模型管理
  • 作者?kelvincai522
  • 分类?专业技能
  • 版本?1.0.1
  • 标签?comfyui, local-inference, image-generation, workflow-automation, model-download, stable-diffusion, generative-ai

使用方法

使用说明
核心用法
ComfyUI Runner 允许用户在本地 ComfyUI 服务器(默认 127.0.0.1:8188)上运行基于节点的工作流。使用前需确保 ComfyUI 已安装并启动。运行流程为:读取工作流 JSON(默认或用户自定义)→ 识别并编辑提示词节点(如 CLIPTextEncode 、 PrimitiveStringMultiline )→ 可选设置风格前缀和随机种子 → 保存临时文件 → 调用 comfyui_run.py 执行。
支持模型权重下载:用户可提供 URL 列表,脚本自动推断子文件夹(checkpoints/loras/vae 等),使用 pget 并行下载或内置回退方案,文件存入 ~/ComfyUI/models/ 。
显著优点
完全本地化 :数据不出本机,隐私可控
高度灵活 :支持任意 ComfyUI 工作流,可深度定制节点参数
自动化模型管理 :智能识别模型类型并分类存放,支持批量下载
工作流可编辑 :每次运行前可动态修改提示词、种子、风格等
潜在局限
环境依赖重 :需自行安装 ComfyUI、Python 虚拟环境、模型权重,首次配置复杂
无内置 UI :纯命令行/API 交互,需用户理解 ComfyUI 节点结构
服务器维护成本 :需手动启停服务,错误时需排查连接问题
资源消耗大 :本地 GPU/CPU 推理,对硬件要求较高
适合人群
已熟悉 ComfyUI 节点工作流的技术用户
注重数据隐私、不愿使用云端生图服务的创作者
需要批量运行自定义工作流或集成到自动化管道的开发者
常规风险
路径与权限 : ~/ComfyUI 路径假设可能在部分系统上不适用;需确保 venv 权限正确
模型来源安全 :从第三方 URL 下载的权重文件可能含恶意代码,建议校验来源可信度
服务可用性 :ComfyUI 进程崩溃或未启动时 API 调用失败,需人工介入恢复
输出管理 :生成文件累积在 output/ 目录,长期运行需磁盘空间监控

Node.js 最佳实践速查手册,聚焦事件循环阻塞、内存泄漏等关键陷阱,由 ClawdBot 社区维护的安全参考文档。

基本信息

  • 技能名称?NodeJS
  • 中文名称?Node.js 安全开发避坑指南
  • 作者?ivangdavila
  • 分类?专业技能
  • 版本?1.0.1
  • 标签?development-engineering, education-research, docs, devops, backend, testing, security

使用方法

使用说明
核心用法
Node.js 技能是一份纯文档型的速查手册,针对 Node.js 开发中最容易踩到的“关键陷阱”提供即时的指导和最佳实践。其核心价值在于将所有核心知识点整理为一份结构化的清单,覆盖了异步处理、模块系统、错误处理、流控制、性能优化、安全性、测试和包管理八大主题,并特别突出了最常见、破坏性最强的问题,如使用 fs.readFileSync 导致服务器阻塞、未处理的 Promise 拒绝导致进程崩溃等。
显著优点

  1. 高度聚焦的关键陷阱提示 :技能直接列出了一系列具体、常见且致命的 Node.js 开发错误(如未处理拒绝、JSON 解析异常、事件监听器泄露),并给出了明确的解决方案,能有效帮助开发者预防线上事故。
  2. 全面的知识图谱覆盖 :它并非零散的知识点堆砌,而是一个结构清晰、覆盖 async 、 streams 、 performance 、 security 等Node.js 全部关键领域的最佳实践索引,可作为团队新成员的绝佳入职培训材料或经验丰富的开发者的日常参考。
  3. 零安全风险的实现 :根据权威安全认证报告的扫描结果,该技能 无可执行代码、零外部依赖、不发起网络请求、不收集任何数据 。它是纯粹的文档,因此不存在任何代码层面的安全风险,使用它本身就是一种接触安全知识的正面行为。
    潜在缺点或局限性
  4. 纯文档形式,无自动化检查 :它仅提供知识和建议,无法像 ESLint 规则或自动化审计工具那样,主动、实时地对代码库进行扫描并阻止错误发生。开发者需要主动查阅和遵守这些规则。
  5. 内容可能过时 :技能中的部分描述基于 Node.js 15+ 版本(例如 unhandledRejection 的默认崩溃行为)。Node.js 版本迭代迅速,某些默认行为可能已经改变,因此其参考内容需要用户结合当前使用的 LTS 版本(如 Node.js 22/24)进行核对。
  6. 来源透明度和许可证缺失 :该技能来自社区个人开发者,属于 T3 级别来源,无法通过 GitHub 验证维护者身份。同时,技能未附带任何开源许可证,这可能在合规要求严格的企业环境中构成潜在的法律风险。
    适合的目标群体
    初中级 Node.js 开发者 :能够帮助他们系统性地了解并避开最常见的、会造成灾难性后果的开发陷阱。
    技术团队负责人或架构师 :可以将其作为团队编码规范和技术分享的基准文档材料。
    频繁在 Node.js、Deno、Bun 等环境间切换的开发者 :作为一份简洁的“坑点”速查表,帮助快速回顾特定于 Node.js 的关键行为差异。
    使用风险
    由于技能本身是纯静态文档, 不存在性能损耗、依赖冲突或运行时代码注入等常规风险 。 唯一需要注意的是,由于文档基于特定历史版本的经验,用户可能在较新版本的 Node.js 中遇到行为已变更的警告,或面临没有开源许可证带来的企业合规性问题。总的来说,使用该技能的主要风险在于依赖不更新的信息,而非技能本身。

来自 Keychains 的官方指南,教你用占位符代替真实密钥调用 API,让 AI Agent 永不接触凭证。

基本信息

  • 技能名称?Secure API Calls
  • 中文名称?凭证零泄露的API调用管家
  • 作者?smarcombes
  • 分类?专业技能
  • 版本?1.0.3
  • 标签?api, automation, development-engineering, devops, backend, docs

使用方法

使用说明
核心用法
本 Skill 为你提供了无需暴露凭证即可安全调用外部 API 的完整方案。它本质上是一份详尽的 Markdown 文档,核心是教你如何使用 keychains 命令行工具(CLI)及其 SDK 来代理 API 请求。其核心机制是 凭证占位符替换 :你在请求中不再填写真实的 API 密钥或 OAuth Token,而是使用 {{VARIABLE_NAME}} 形式的占位符。当通过 keychains curl 或 keychainsFetch() 发送请求时,真正的凭证由 Keychains 服务端在安全环境中注入,你的 AI Agent 和本地代码将永远不会接触到任何敏感凭证。
文档内容极其丰富,涵盖了从快速开始的 npm install -g keychains ,到 GitHub、Slack、Stripe、Gmail 等常见 API 的调用示例,再到 TypeScript、Python 等多语言 SDK 的使用,以及首次使用时用户通过生物识别(FaceID/Passkey)进行安全审批的详细流程。
显著优点

  1. 设计极简,功能强大 :通过一个简单的 CLI 替换(用 keychains curl 替代 curl )或 SDK 的 Fetch 替换,即可实现强大的安全增强,学习成本近乎为零。
  2. 安全性最佳实践 :完美实践了 凭证隔离 原则。凭证仅存在于用户控制的 Keychains Vault 中,绑定特定服务商(如 GitHub Token 无法用于其他网站),且在服务器端以 AES-256-GCM 加密静态存储,仅在代理内存中解密。同时支持生物识别审批和即时吊销。
  3. 生态系统兼容性惊人 :Skill 文档列出并兼容了超过 5500 个 API 服务商,从常见的 CRM、营销、开发工具到专业领域服务,覆盖面极广,开箱即用。
  4. 审计与合规友好 :每次代理请求都生成不可篡改的审计日志(AWS S3 Object Lock),支持配置保留期(最长 3 年),且绝不记录请求/响应体及凭证值。同时声明遵守 GDPR/CCPA,支持数据导出和账户删除。
  5. 隐私保护正向设计 :Skill 本身为纯文档,不执行任何代码,不收集任何数据。其推广的 Keychains 服务则通过不追踪、无广告、不销售用户数据的设计,贯彻了隐私优先的理念。
    潜在缺点与局限性
  6. 集中式代理的单点风险 :所有 API 流量都将经过 keychains.dev 服务器。这意味着该服务的 可用性、性能和安全性 成为整个方案的核心依赖。一旦代理服务中断,所有通过占位符的 API 调用都将失败。
  7. 第三方信任要求 :尽管 Keychains 声明了严格的加密和日志策略,用户仍需信任 keychains.dev 不会窥探或滥用经过其服务器的 API 流量元数据(URL、时间戳等)。这对于处理高度敏感的商业数据或受严格监管(如 HIPAA)的数据可能构成合规挑战。
  8. 项目处于早期阶段 :核心工具 keychains 的 npm 包版本为 v0.0.13 ,表明项目仍在快速迭代的初期。这意味着可能存在未发现的漏洞、功能不稳定或 API 发生破坏性变更的风险。
  9. 对用户侧的网络与审批流程依赖 :技能要求用户端的网络能够连接到 keychains.dev 。同时,首次使用及按需进行的生物识别审批流程,可能会在自动化流程中引入额外的人工交互延迟。
    适合的目标群体
    Agent 与自动化开发者 :最适合那些需要让 AI Agent 代表用户调用第三方 API,但又绝不能接触原始凭证的场景。这是本 Skill 的核心用例。
    个人开发者与小型初创团队 :对于缺乏构建复杂密钥管理服务(KMS)能力的团队,它提供了一站式、开箱即用的安全凭证管理方案,极大降低了凭证泄露的风险。
    注重安全与审计的团队 :需要清晰的 API 调用审计轨迹,并希望严格控制 Agent 权限的团队,会非常欣赏其不可变日志和即时吊销功能。
    多平台、多语言的项目 :提供 CLI 及 TypeScript/Python SDK,能满足不同技术栈的集成需求。
    使用此技能可能存在的常规风险
    外部服务依赖风险 :如前所述,对 keychains.dev 的完全依赖是其最大风险。服务的稳定性、持续运营能力和未来可能变更的定价策略都是需要考虑的因素。
    无许可证声明 :Skill 文档及其引用的源代码仓库未明确开源许可证。这可能会给希望修改或二次分发该技能的用户带来合规上的不确定性。

    安全性模型认知偏差 :用户需正确理解此技能的安全边界。它主要解决的是"Agent 接触凭证"的问题,防止凭证在日志或 prompt 中泄露。但它不防护用户端机器本身已被攻破(例如,攻击者替换了 keychains 命令)或 keychains.dev 服务端被攻破的极端情况。

    此结论基于对 Skill 内容及安全报告的综合分析。评估认为该 Skill 理念先进,在保护凭证安全方面具有显著优势,尤其适合 Agent 开发场景,但使用时应充分认识其作为早期项目的特性和对第三方服务的核心依赖。