分类 其他 下的文章

基于Satori CLI的跨会话记忆技能,通过向量数据库与知识图谱持久化保存关键决策,实现Claude、Cursor等工具间的AI上下文连续性。

基本信息

  • 技能名称?satori
  • 中文名称?跨平台AI记忆持久化同步专家
  • 作者?joelachance
  • 分类?其他
  • 版本?未标注
  • 标签?productivity, automation, database, api, content-media, development-engineering, memory-management

使用方法

使用说明
核心用法
Satori 是一个专为解决 AI 会话"失忆"问题设计的记忆持久化技能。它通过调用 @satori-sh/cli 命令行工具,将对话中的重要事实(如技术选型、项目截止日期、用户偏好等)保存到云端向量数据库和知识图谱中。用户可以通过 npx -y @satori-sh/cli@latest add 命令保存事实,或使用 search 命令在新会话开始时自动检索相关上下文。该技能支持 Claude Code、Cursor、Windsurf 等主流 AI 编程工具,能够自动配置 API 密钥和记忆 ID,实现开箱即用的体验。
显著优点
Satori 的最大价值在于打破了不同 AI 工具之间的记忆孤岛。开发者往往需要在 Claude、Cursor、GitHub Copilot 等多个工具间切换,而每个工具的对话历史都是独立的。Satori 通过中央化的云端记忆库,确保关键项目信息(如"使用 PostgreSQL 作为主数据库"、"MVP 截止日期是 3 月 15 日")能够在任何工具中被召回。此外,它采用混合存储架构(向量搜索 + 知识图谱),既能处理语义搜索,也能维护实体关系,检索准确性较高。自动配置机制也降低了使用门槛,无需手动注册或配置复杂的环境变量。
潜在缺点与局限性
首先,该技能完全依赖网络连接的第三方云服务,所有保存的事实都会传输到 Satori 的服务器,存在数据隐私和合规性风险,不适合处理敏感商业机密或个人隐私数据。其次,CLI 命令使用 @latest 标签动态加载,版本未锁定,可能导致不同时间执行时出现行为不一致,甚至面临供应链攻击风险(如 npm 包被劫持)。此外,记忆质量高度依赖 AI 的判断能力,可能会错误保存无关信息或遗漏关键上下文,且目前缺乏有效的记忆编辑或删除机制。
适合的目标群体
该技能最适合频繁切换不同 AI 编程工具的开发者、需要长期维护复杂项目的独立开发者,以及团队协作中需要共享项目上下文的场景。对于那些在 Claude Code 中开始项目,然后在 Cursor 中继续编码,又希望在 Windsurf 中回顾架构决策的用户,Satori 能提供宝贵的连续性体验。同时,它也是个人知识管理的辅助工具,适合用来记录技术偏好、重要联系人、战略方向等半结构化信息。
使用风险
供应链安全风险 :由于使用 npx @latest 动态执行远程代码,如果 @satori-sh/cli 包被攻击者篡改,用户将在不知情的情况下执行恶意代码。 数据隐私风险 :所有记忆数据都存储在云端,虽然文档明确说明了这一点,但用户仍需警惕不要将密码、API 密钥、商业机密等敏感信息存入其中。 可用性风险 :作为个人开发者维护的项目,服务的长期稳定性、数据持久性保障都存在不确定性,可能出现服务下线或数据丢失的情况。 性能依赖 :每次保存或搜索都需要网络请求,在网络不稳定环境下会影响响应速度。

TinyTalkingTodos 官方 CLI 使用指南,支持实时同步、批量操作与撤销机制,为命令行用户提供高效的待办管理体验。

基本信息

  • 技能名称?ttt
  • 中文名称?实时同步的待办事项命令行管家
  • 作者?joshuacrowley
  • 分类?其他
  • 版本?未标注
  • 标签?productivity, docs, automation, development-engineering

使用方法

使用说明
TinyTalkingTodos CLI(ttt)是一款专为命令行用户设计的待办事项管理工具文档 Skill,通过详尽的指令说明帮助用户掌握 ttt CLI 的全部功能。该 Skill 本身为纯文档型资产,提供了从安装配置到高级批量操作的完整使用指南,涵盖列表管理、待办事项操作、认证流程、守护进程模式等核心功能。
核心用法围绕 ttt 命令展开,支持通过简洁的语法管理待办列表(list)和具体事项(todo)。用户可进行基础的增删改查操作,利用 --json 参数获取结构化数据便于脚本处理,或通过紧凑格式(默认)实现 token 高效的人机交互。特色功能包括批量添加(batch-add)和批量更新(batch-update),允许通过 JSON 数组一次性处理多个事项;完善的撤销机制(undo)支持回滚最近的操作记录;守护进程模式(daemon)则通过保持 WebSocket 连接显著提升命令响应速度。
显著优点包括与 TinyTalkingTodos 服务的实时同步能力,确保多端数据一致性;丰富的字段支持(日期、时间、URL、地理位置、金额、评分等)满足多样化的待办场景;紧凑输出格式专为 AI 交互优化,减少 token 消耗;完善的操作回滚机制降低误操作风险。
潜在缺点主要在于依赖性:Skill 本身仅提供文档,必须额外安装 @ojschwa/ttt-cli npm 包才能使用,且该工具由个人开发者维护(T3 来源),长期维护稳定性有待观察。功能层面受限于 TinyTalkingTodos 服务平台,离线使用能力有限。此外,CLI 的学习曲线对非技术用户不够友好。
适合的目标群体主要是习惯命令行操作的开发人员、TinyTalkingTodos 服务的现有用户,以及需要通过脚本批量处理待办事项的自动化场景。对于追求图形界面或偶尔使用待办功能的普通用户,该工具可能过于复杂。
使用风险包括对外部 CLI 工具的安全依赖(需自行审计 npm 包安全性)、 ttt auth export 命令可能导致的凭证泄露风险,以及通过 --json 输出敏感数据时的隐私保护问题。建议用户在可信环境中使用,并谨慎处理认证信息的导出与存储。

通过 todoist CLI 在终端直接管理 Todoist 任务,支持列表查询、增删改、优先级和过滤筛选。

基本信息

  • 技能名称?Todoist Task Manager
  • 中文名称?终端极速掌控你的 Todoist
  • 作者?2mawi2
  • 分类?其他
  • 版本?1.0.0
  • 标签?todoist, cli, task-management, productivity, gtd, terminal, homebrew, api-integration

使用方法

使用说明
核心用法
Todoist CLI( todoist )是一款开源命令行工具,让用户无需离开终端即可完成 Todoist 任务的全生命周期管理。安装后配置 API Token 即可开始使用,支持任务列表查询、新增、修改、完成、删除等基础操作,并提供丰富的过滤语法(如 today 、 overdue 、 p1 、 @label 、 #Project )快速定位任务。
显著优点

  1. 高效工作流 :终端原生操作,配合 shell 脚本和别名可大幅提升效率,适合键盘优先用户
  2. 强大过滤系统 :完整支持 Todoist 官方过滤语法,支持布尔组合( & | ! ),复杂查询一键完成
  3. 自然语言支持 : todoist quick 命令支持类似 "Buy eggs tomorrow p1 #Shopping @errands" 的快速录入
  4. 输出灵活 :支持 CSV、彩色输出、层级缩进等多种格式,便于脚本集成
  5. 跨平台 :基于 Homebrew 分发,macOS/Linux 均可安装
    潜在缺点与局限
    配置门槛 :需手动获取 API Token 并创建 JSON 配置文件,对非技术用户不够友好
    本地缓存机制 :需手动执行 todoist sync 同步远程变更,存在数据不一致风险
    功能边界 :不支持 Todoist 的部分高级功能(如团队协作评论、附件上传、看板视图)
    依赖外部服务 :完全依赖 Todoist 官方 API,服务中断时无法使用
    适合人群
    开发者、运维工程师、终端重度用户,以及希望将任务管理集成到 shell 工作流中的效率爱好者。
    常规风险
    API Token 以明文存储在 ~/.config/todoist/config.json ,需确保文件权限安全(建议 chmod 600 )
    误操作 delete 或 close 命令可能导致任务不可逆丢失,建议配合 --dry-run 或备份习惯
    过滤语法复杂时可能误删批量任务,需谨慎测试过滤条件

ClawHub官方技能安全审查工具,提供自动化扫描与人工审查流程,帮助用户在安装前评估第三方技能的安全风险与实用价值。

基本信息

  • 技能名称?skill-vetting
  • 中文名称?第三方技能安全审查专家
  • 作者?eddygk
  • 分类?其他
  • 版本?未标注
  • 标签?security, automation, devops, development-engineering, testing

使用方法

使用说明
核心用法
skill-vetting 是 ClawHub 官方提供的技能安全审查工具,专为评估第三方技能的安全性与实用性而设计。其核心工作流程包括五个步骤:首先将待审查技能下载至 /tmp 临时目录(避免污染工作区),然后运行自动化扫描脚本检测潜在风险,接着进行人工代码审查验证实际行为与文档描述的一致性,再评估该技能相比现有工具(MCP 服务器、直接 API、已有技能)的增量价值,最终根据安全与效用矩阵做出安装决策。
显著优点
该技能的最大价值在于建立了系统化的安全审查框架。它提供了明确的决策矩阵,将安全状态(清洁/问题/恶意)与实用价值(高/边际)交叉分析,帮助用户快速判断。自动化扫描器可检测常见恶意模式如 eval()() /() / exec()()`、base64 编码字符串、可疑网络调用等,并输出具体的文件行号引用。此外,技能强调"永不信任"原则,即使扫描通过仍需人工复核,这种纵深防御理念对安全敏感场景尤为重要。
潜在缺点与局限性
作为审查工具本身,skill-vetting 存在明显的自我指涉局限:它无法审查自身的安全性,且依赖用户具备足够的安全知识来理解扫描结果。自动化扫描存在误报和漏报风险,文档中提到的"假阳性"问题需要用户手动甄别。此外,效用评估高度主观,"显著改进"的标准因人而异,可能导致过度安装或错失有用工具。技能未提供持续监控能力,安装后的异常行为仍需用户自行发现。
适合的目标群体
该技能主要面向三类用户:安全敏感型开发者(需要审查第三方代码)、ClawHub 平台管理员(建立组织级的技能准入流程)、以及技术审核人员(评估工具链组件)。对于普通终端用户,若缺乏代码审计能力,该工具的价值会大打折扣。企业环境中,建议由安全团队集中使用该技能建立白名单机制,而非依赖终端用户自行判断。
使用风险
常规风险包括:审查流程本身消耗时间成本,可能拖慢开发节奏;过度依赖自动化扫描产生虚假安全感;以及 /tmp 目录的临时文件若未清理可能泄露被审查技能的敏感信息。性能方面,大型技能的下载与扫描可能显著延迟决策。依赖项上,该技能依赖系统级工具(curl、unzip、python3)的可用性,在受限环境中可能失效。

基于对抗性分析框架的专业安全审计指南,系统覆盖9大威胁类别与7种混淆技术,帮助开发者识别Skill中的提示注入、数据外泄等恶意模式。

基本信息

  • 技能名称?one-skill-to-rule-them-all
  • 中文名称?对抗性安全分析与威胁检测
  • 作者?hichana
  • 分类?其他
  • 版本?未标注
  • 标签?security, development-engineering, education-research, testing, docs

使用方法

使用说明
OSTRTA(One Skill To Rule Them All)是一款专为OpenClaw生态设计的对抗性安全分析技能,旨在通过系统化的审计框架识别其他Skill中的潜在恶意模式。该技能并非自动化扫描工具,而是一份comprehensive的安全检测指南,采用"Assume-Malicious"(假设恶意)的审计posture,帮助用户识别提示注入、数据外泄、代码混淆等九大威胁类别。
核心用法围绕六步分析协议展开:解码混淆内容、检测九大威胁向量、应用对抗性推理、生成风险评级、输出证据报告,以及可选的清理版本生成。具体而言,它涵盖从基础的Prompt Injection(提示注入)、Data Exfiltration(数据外泄)到高级的Obfuscation(Base64、零宽字符、同形异义词等七种混淆技术)、Privilege Escalation(权限提升)和Persistence Mechanisms(持久化机制)等全方位检测维度。
显著优点在于其教育价值与系统性。首先,它提供了30余个明确标记的恶意/良性代码对比示例,使开发者能直观理解攻击模式;其次,对抗性推理框架通过五个关键问题(如"攻击者会将恶意代码藏在何处?")培养用户的安全思维;最后,详细的威胁分类体系和证据报告模板,为安全审计提供了可复用的方法论。
然而,该技能存在明显局限性。作为纯文档型资产,它缺乏自动化执行能力,所有检测需人工应用,效率较低;同时,部分混淆检测(如多层Base64解码)依赖手动操作,对新手不够友好;此外,虽然提供了清理版本生成指南,但明确声明"不能保证完全清除所有恶意内容"。
适合的目标群体包括:OpenClaw Skill开发者(用于自检)、安全研究员(作为威胁检测参考)、以及技术型终端用户(学习识别恶意Skill)。特别适用于在导入第三方Skill前进行人工安全审查的场景。
使用风险方面,主要需注意教育示例的误用风险——文档中包含大量标记为"❌ Malicious"的真实攻击代码(如凭证窃取命令),用户若误复制执行将导致安全事故。此外,该技能来源为个人开发者(T3可信度),且明确声明"SAFE评级不代表安全认证",建议关键场景下仍需专业安全审计。