发布一个技能
提一个 Pull Request,剩下的交给审计流水线。
直接在下面填字段、写正文,就能在我们这上架你的技能。提交后会进入下一个 ingest 周期;如果你更想走 GitHub PR,本页右下角的「下载 SKILL.md」会把生成好的文件保存到本地。
直接在这里写一个 Skill
左边填字段、写正文,右边实时预览生成的 SKILL.md。点「提交」会发到我们的收录队列;如果接口还没开通,会自动下载到本地,方便你走 GitHub PR。
信任分是怎么算出来的
基础分 70。许可证 +6、版本 +4、工具范围明确 +6、不使用 curl-pipe-bash +5、不使用 rm -rf / +5、无高熵字符串 +4。≥90 判已审计 · ≥75 判社区 · ≥50 判未审计 · 其它判风险。
信任分 = 70(基础分)
+ 6 # 声明了 license
+ 4 # 声明了 version
+ 6 # allowed-tools 范围明确
+ 5 # 安装命令不使用 curl … | bash
+ 5 # 不使用 rm -rf /
+ 4 # 全树 gitleaks 熵阈值 < 3.8
判定阈值
≥ 90 → 已审计 (verified)
≥ 75 → 社区 (community)
≥ 50 → 未审计 (unverified)
else → 风险 (flagged) 提交前自查清单
- description ≤ 140 字,写「触发条件」不要写「功能介绍」
- 声明了 license(推荐 MIT / Apache-2.0)
- 声明了 version 并随发布递增
- allowed-tools 限定在你真正使用的工具
- 安装命令不使用 curl … | bash 模式
- 没有 rm -rf / 或同级递归删除
- README / SKILL.md 中没有真实密钥(gitleaks 0 命中)
常见问题
- 一定要先发布到 npm 才能上架吗?
- 不需要。我们直接镜像公开仓库里的 SKILL.md。在每个 Agent 推出官方注册表之前,安装命令保持占位形式,但卡片已经可点可复制。
- 怎么拿到「已审计」徽章?
- 满足审计清单的全部门槛(许可证、版本、不通过管道安装、不含高熵字符串),并拿到 90 分以上。徽章会在下次构建里自动贴上,没有人工评审队列。
- 索引多久刷新一次?
- 每次推到 main 分支会刷新一次,定时任务最多每六小时再跑一次。上游仓库的更新通常在一个构建周期内出现在站上。