trailofbits/skills-curated

# 精选技能市场 Trail of Bits 审查并批准的 Claude Code 插件。这里的每项技能和市场均已通过质量和安全审查。 ## 为什么会有这个项目 我们不希望 Trail of Bits 的员工安装未经我们审查的来自 GitHub 仓库的随机插件。已发布的技能中被发现过包含后门和恶意钩子，而且该生态系统没有内置的质量控制关卡。这个仓库是我们内部解决该问题的方式。 这里的一切都经过了 Trail of Bits 员工的代码审查。我们将其公开分享，以便更广泛的社区也能受益于同样的审查。 ## 安装 ``` /plugin marketplace add trailofbits/skills-curated /plugin menu ``` ## 可用插件 ### 开发 | 插件 | 描述 | |--------|-------------| | [planning-with-files](plugins/planning-with-files/) | 基于文件的规划，使用持久化 markdown 处理复杂的多步骤任务 | | [python-code-simplifier](plugins/python-code-simplifier/) | 简化和精炼 Python 代码，以提高清晰度和可维护性 | | [react-pdf](plugins/react-pdf/) | 使用 React-PDF 生成 PDF 文档（flexbox 布局，SVG，自定义字体） | | [skill-extractor](plugins/skill-extractor/) | 从工作会话中提取可复用的技能 | ### 安全 | 插件 | 描述 | |--------|-------------| | [ffuf-web-fuzzing](plugins/ffuf-web-fuzzing/) | 在授权渗透测试期间为 ffuf Web 模糊测试提供专家指导 | | [ghidra-headless](plugins/ghidra-headless/) | 使用 Ghidra 无头分析器对二进制文件进行逆向工程 | | [scv-scan](plugins/scv-scan/) | 审计 Solidity 代码库，检测 36 种智能合约漏洞类别 | | [security-awareness](plugins/security-awareness/) | 在 agent 运行期间识别并避免网络钓鱼、凭证盗窃和社会工程学 | | [wooyun-legacy](plugins/wooyun-legacy/) | 基于 88,636 个真实案例（WooYun 2010-2016）的 Web 漏洞测试方法论 | ### 研究 | 插件 | 描述 | |--------|-------------| | [last30days](plugins/last30days/) | 研究过去 30 天内 Reddit、X 和 Web 上关于任何主题的内容 | | [x-research](plugins/x-research/) | 搜索 X/Twitter 以获取实时观点、讨论和专家意见 | ### 写作 | 插件 | 描述 | |--------|-------------| | [humanizer](plugins/humanizer/) | 识别并移除 AI 写作模式，使文本听起来更自然 | ### OpenAI（已转换） 使用 `scripts/convert_openai_skills.py` 从 [openai/skills](https://github.com/openai/skills) 自动转换。仅限可移植技能（无 MCP 或 OpenAI API 依赖）。 | 插件 | 描述 | |--------|-------------| | [openai-cloudflare-deploy](plugins/openai-cloudflare-deploy/) | 将应用部署到 Cloudflare Workers 和 Pages | | [openai-develop-web-game](plugins/openai-develop-web-game/) | 通过开发 + 测试循环构建和迭代 Web 游戏 (HTML/JS) | | [openai-doc](plugins/openai-doc/) | 读取、创建和编辑 `.docx` 文档并保持格式保真度 | | [openai-gh-address-comments](plugins/openai-gh-address-comments/) | 处理 GitHub PR 上的审查和问题评论 | | [openai-gh-fix-ci](plugins/openai-gh-fix-ci/) | 调试并修复失败的 GitHub Actions CI 检查 | | [openai-jupyter-notebook](plugins/openai-jupyter-notebook/) | 创建、搭建和编辑 Jupyter notebooks | | [openai-netlify-deploy](plugins/openai-netlify-deploy/) | 使用 CLI 将 Web 项目部署到 Netlify | | [openai-pdf](plugins/openai-pdf/) | 具备布局感知能力的读取、创建和查看 PDF 文件 | | [openai-playwright](plugins/openai-playwright/) | 通过 playwright-cli 从终端自动化真实浏览器 | | [openai-screenshot](plugins/openai-screenshot/) | 截取桌面或系统屏幕截图 | | [openai-security-best-practices](plugins/openai-security-best-practices/) | 特定语言和框架的安全最佳实践审查 | | [openai-security-ownership-map](plugins/openai-security-ownership-map/) | 从 git 历史记录构建安全所有权拓扑 | | [openai-security-threat-model](plugins/openai-security-threat-model/) | 基于代码库的威胁建模，包含信任边界和滥用路径 | | [openai-sentry](plugins/openai-sentry/) | 检查 Sentry 问题并汇总生产错误 | | [openai-spreadsheet](plugins/openai-spreadsheet/) | 创建、编辑和分析电子表格（`.xlsx`、`.csv`） | | [openai-yeet](plugins/openai-yeet/) | 暂存、提交、推送并在一个流程中创建 GitHub PR | ## 它是如何工作的 有三种方式可以让一项技能获得使用批准： ### 1. 使用已批准的市场 以下市场已经过审查并被批准使用。直接从中安装插件即可。 | 市场 | 重点方向 | |-------------|-------| | [trailofbits/skills](https://github.com/trailofbits/skills) | Trail of Bits 用于安全研究和审计的原创技能 | | [trailofbits/skills-curated](https://github.com/trailofbits/skills-curated) | 由 Trail of Bits 策划和分发的社区技能 | | [trailofbits/skills-internal](https://github.com/trailofbits/skills-internal) | Trail of Bits 内部技能（私有） | | [anthropics/claude-plugins-official](https://github.com/anthropics/claude-plugins-official) | Anthropic 的官方插件 | | [anthropics/knowledge-work-plugins](https://github.com/anthropics/knowledge-work-plugins) | Anthropic 的官方知识工作插件 | | [obra/superpowers](https://github.com/obra/superpowers) | 高级工作流模式、TDD 强制执行、多技能编排 | | [EveryInc/compound-engineering-plugin](https://github.com/EveryInc/compound-engineering-plugin) | 生产工程工作流和多 agent 审查 | | [coreyhaines31/marketingskills](https://github.com/coreyhaines31/marketingskills) | 营销类技能 | | [ghostsecurity/skills](https://github.com/ghostsecurity/skills) | Ghost Security 用于应用安全测试的技能 | | [openai/skills](https://github.com/openai/skills) | OpenAI 为 Codex 提供的官方技能目录 | ### 2. 申请新市场批准 找到了列表中没有的市场？[提交一个 Issue](https://github.com/trailofbits/skills-curated/issues/new) 申请批准。请附上仓库 URL 以及您的用途。我们会对其进行审查，如果通过则会将其添加到批准列表中。 ### 3. 提交单独的技能 使用来自未批准来源的技能？提交一个 PR 将其添加到此处。有关编写指南，请参见 [CLAUDE.md](CLAUDE.md)。每个 PR 都会经过代码审查——我们会阅读钩子和脚本的每一行。 提交外部技能时，请在插件的 README 中注明出处：它的来源（链接到原始仓库或作者）以及您所做的任何修改。请参阅 [humanizer README](plugins/humanizer/README.md) 获取示例。 合并后，该技能将可供所有 Trail of Bits 员工以及使用此市场的任何其他人使用。 ## 许可证 本作品基于 [知识共享署名-相同方式共享 4.0 国际许可协议](https://creativecommons.org/licenses/by-sa/4.0/) 进行授权。

标签：AI 代码安全, AI 智能体安全, Claude Code 插件, ESC8, ffuf, Ghidra, Python 代码优化, React PDF, Solidity 安全, Trail of Bits, Web Fuzzing, Web 安全, Web 漏洞挖掘, WooYun 漏洞库, 云资产清单, 代码安全审查, 代码质量门禁, 后门检测, 大语言模型 插件, 安全插件库, 恶意插件检测, 插件市场, 智能合约审计, 特征检测, 社会工程学, 社区审查, 逆向工具, 逆向工程, 钓鱼防护, 防御加固