Discover, vet, and install agent skills by searching ACROSS every major registry at once — skills.sh, clawhub.ai, and GitHub — presenting each board on its own native metric (installs / stars) with the top entry per board, security-scanning the top candidates' real SKILL.md for risky patterns, and flagging what's already installed. Use when the user asks "how do I do X", "find a skill for X", "is there a skill that…", "what skill should I install for…", or wants to extend the agent with a capability that might already exist as a published skill. Unlike single-registry search, this surfaces the best of every platform side by side, so you recommend the genuinely relevant, popular, well-maintained, and SAFE one — not whatever ranked first on one site.
Find Skills
透過一次搜尋所有主要註冊表來找到適合任務的代理技能,並以每個平台的原生指標呈現 — 而不是只相信單一網站的排行榜。
何時使用此技能
- 使用者問「如何做 X」,而 X 是常見任務,很可能已有已發布的技能
- 「找一個做 X 的技能」/「有沒有做 X 的技能」/「我該安裝哪個來做 X」
- 使用者想要擴展代理能力(測試、設計、部署、特定模型/API、領域工作流程)
- 你正要從頭開始建立某個東西,而一個經過實戰考驗的技能可能已經涵蓋了
為什麼多來源很重要
每個註冊表只顯示自己的片段,並提供不同的訊號:
| 註冊表 | 搜尋方式 | 暴露的訊號 | 盲點 |
|---|---|---|---|
| skills.sh | GET /api/search?q= |
終身安裝數、來源儲存庫 | 沒有星數、沒有摘要、安裝數落後約 2.5 小時 |
| clawhub.ai | /api/search + /api/skill?slug= |
摘要、安裝數、星數、版本 | 語料庫比 skills.sh 小 |
| GitHub | gh search repos --topic {claude-skills,agent-skills,claude-code-skills} |
儲存庫星數、描述、維護狀況 | 儲存庫層級而非技能層級;僅限有主題標籤的儲存庫 |
一個技能可能在一個網站上以 50 次安裝排名第一,而另一個有 1,300 次安裝的同等技能卻在另一個網站上未排名。只搜尋一個註冊表會給出偏頗的答案。此技能並行查詢所有三個來源,根據每個平台的原生指標排序,標記同時出現在兩個註冊表上的技能(基於正規化名稱雙向比對 — 所以 face-swap ↔ faceswap 會對齊),並顯示每個板塊的頂部,讓您看到整個生態系統 — 而不是單一網站的排行榜。
如何執行
使用使用者的需求作為查詢來執行捆綁的聚合器:
bash scripts/find.sh "<使用者需要的內容>"
範例:
bash scripts/find.sh "react performance"
bash scripts/find.sh "pdf form filling" --limit 8
bash scripts/find.sh "video generation" --scan 5
bash scripts/find.sh "deploy to vercel" --no-scan --json
旗標:
--limit N— 每個來源的結果數(預設 10;非數字則回退為 10)--scan K— 對每個註冊表上前 K 個可安裝候選人進行安全掃描(預設 2,最大 5)--no-scan— 跳過安全掃描(更快;掃描會增加幾秒鐘,因為它會擷取每個候選人的實際 SKILL.md)--json— 輸出機器可讀的 JSON 而非格式化報告-h/--help— 顯示使用說明並退出
腳本需要 curl 和 jq。它使用 gh 進行 GitHub 部分和擷取 skills.sh 技能本體,並在掃描期間使用 unzip 擷取 clawhub 技能本體 — 所有這些都是可選的,如果缺少則優雅降級。不需要 API 金鑰。
執行相鄰詞查詢 — 一次搜尋不夠
註冊表是根據技能的名稱而非其意義來索引。單一查詢會錯過歸類在相關詞彙下的優秀技能。對於任何非瑣碎的需求,在得出結論之前,請對相鄰詞彙進行 2–3 次搜尋,然後合併結果。
這不是可選的修飾 — 它經常改變答案。例如:搜尋 "ui ux design" 最高約 19k 安裝數,但 "frontend design" 會找到 anthropics/skills/frontend-design 有 443k 安裝數 — 同樣需求的最佳技能,完全被第一次查詢隱藏。
根據領域選擇相鄰詞,例如:
- UI/UX →
frontend design,design system,web design,tailwind shadcn,dashboard ui - 測試 →
e2e,playwright,unit tests,test automation - 部署 →
deployment,ci cd,docker,vercel/kubernetes - 文件 →
documentation,readme,api docs,changelog
將這些執行的聯集視為您的候選池,然後對整個池應用下面的評分標準 — 而不是對單一查詢的結果。
如何閱讀輸出
設計原則:沒有發明的「品質分數」。 沒有您必須信任的複合數字。每個板塊根據該板塊自身的原生熱門指標排序,唯一顯示的計算值是 match % — 使用者查詢詞彙出現在技能名稱/摘要中的比例。這是一個透明的相關性提示,而不是最終判斷。
報告從上到下:
- 橫幅 + 遙測 — 查詢、來源健康行(
skills.sh ✓ 5·1.2s clawhub ✓ 0·2.7s github ✓ 8·1.1s)顯示哪些板塊回應/命中數/延遲,以及本地安裝了多少技能。✗ failed/– skipped來源表示部分結果 — 請說明。 - ▶ 每個板塊的頂部 — 每個板塊上根據該板塊原生指標排名第一的項目(skills.sh 安裝數 / clawhub 安裝數·星數 / GitHub match%·星數)。這是關鍵字 + 熱門度,不是經過審查的選擇 — 它是一個起點,可能錯誤(100% 關鍵字匹配的儲存庫在閱讀後可能離題)。在推薦之前,務必透過閱讀來確認。如果某個板塊沒有匹配,它會說明。
- ✓ 已在您的機器上 — 僅當結果已安裝時出現。一個正面的提示:告訴使用者他們已經擁有一個好技能,不需要安裝任何東西。(啟發式:將結果名稱與
~/.agents/skills/~/.claude/skills下的資料夾名稱比對;安裝在重新命名資料夾下的技能可能會被漏掉。) - 📦 skills.sh — 按安裝數排序。一鍵安裝。每一行顯示其來源儲存庫(因此來自不同儲存庫的同名技能可以區分)。
(also on clawhub)標記另一個註冊表上的正規化名稱匹配。前K個帶有風險徽章。 - 🪝 clawhub — 按安裝數·星數排序。一鍵安裝。
(also on skills.sh)標記反向交叉發布。前K個帶有風險徽章。 - 🐙 github — 跨
claude-skills/agent-skills/claude-code-skills主題的儲存庫(合併、去重),按 match% 然後星數排序,因此高星數但離題的儲存庫(例如一個僅提及「UI」的 14k 星工具)會低於 100% 匹配的儲存庫。僅顯示有主題標籤的儲存庫 — 未標記的技能儲存庫在此不可見。非一鍵安裝 — 使用前請審查。 - 📚 精選列表 — 人工審查的 awesome-list,作為最終的合理性檢查。
如何選擇正確的技能(決策評分標準)
腳本收集證據;由您做決定。 不要傾倒表格讓使用者決定 — 這沒有幫助。形成一個清晰、有根據的建議。專業的做法是提出明確意見並展示基於真實訊號的推理。
步驟 1 — 在判斷之前先閱讀。 永遠不要僅根據元數據推薦。打開前 2–3 個候選人的實際 SKILL.md / README(腳本已經為掃描過的候選人擷取了本體;對於 GitHub 儲存庫,擷取 README)。問:它是否真的執行使用者的特定任務,還是只是共享關鍵字? 一個 10k 安裝數但離題的技能輸給一個 200 安裝數但精準的技能。
步驟 2 — 權衡訊號,按此順序:
- 符合度 — 技能記錄的行為是否匹配真實需求?(閱讀觸發條件/範圍,而不僅僅是
match %)。這主導一切。 - 熱門度作為社會證明 — 在真正符合的技能中,更高的安裝數/星數意味著更多人驗證了它。使用板塊原生數字。
- 深度與維護 — 本體是否涵蓋使用者的特定子需求?是否有近期版本、真實範例、明確範圍?薄弱或廢棄的技能輸。
- 安全性 —
⛔ RISKY掃描結果會取消資格,除非使用者明知風險而接受;⚠ caution需要提醒。 - 交叉發布 — 同時出現在兩個註冊表是一個輕微的正向訊號(獨立發布/維護)。
步驟 3 — 打破平手,偏好您實際閱讀過且可以擔保的技能,具有最狹窄的明確範圍和最少的意外依賴。
步驟 4 — 給出結論,而不是選單:
- 一個主要推薦,附上一句為什麼,引用具體訊號(「12k 安裝數,且其 SKILL.md 特別涵蓋了表單填寫,正是您的情況」)。
- 1–2 個按需求框架的替代方案(「如果您想要 X,請改選這個」)。
- 如果最佳選項是 GitHub 儲存庫而非一鍵註冊表技能,請說明並仍然推薦它 — 請注意它需要手動審查/安裝。
- 只有在您閱讀了頂尖候選人且它們確實不符合時,才說「沒有適合的」。然後提議直接執行任務或建立一個新技能。
陳述原生事實,永遠不要使用發明的分數。專業的回答讀起來像:「ui-components(529 安裝數)是我的選擇 — 我讀過它;它涵蓋了 shadcn + Radix + 設計代碼 + 表單,正是您的情況,而且它的工具是唯讀的。363★ 的 ai-design-components 儲存庫看起來很誘人,但它是一個 76 技能的完整堆疊大雜燴,不是 UI 導向 — 除非您想要一切,否則跳過它。」 「這裡是數字,您自己選」不是專業的做法。
安全掃描
對於前 K 個結果,腳本會擷取實際的 SKILL.md(skills.sh → 透過來源儲存庫的 GitHub raw;clawhub → 其下載 zip)並 grep 風險訊號:
| 旗標 | 等級 | 意義 |
|---|---|---|
curl-pipe-install |
⛔ 有風險 | 將遠端腳本直接 pipe 到 sh/bash — 最常見的審計失敗模式 |
eval-remote / base64-pipe-exec |
⛔ 有風險 | 在執行時執行擷取或混淆的程式碼 |
broad-tool-grant |
⚠ 謹慎 | allowed-tools 授予 Bash(*) 或不受限制的工具存取 |
reads-secrets |
⚠ 謹慎 | 引用 ~/.ssh、~/.aws、.env、私鑰 |
solicits-credentials |
⚠ 謹慎 | 要求使用者貼上 API 金鑰/代碼/密碼 |
✓ clean = 未發現;? unscanned = 無法擷取本體(排名超過 K、私人儲存庫或沒有本體端點)。徽章是啟發式提示,要求在推薦之前自行閱讀技能,而不是任何一方的保證。永遠不要推薦 ⛔ RISKY 技能而不明確警告使用者其行為。
推薦與安裝
當您向使用者展示選項時,對於每個候選人,請提供:名稱、功能(一行)、安裝數 + 星數、所在的註冊表以及安裝指令。然後提議安裝。
透過 Skills CLI 安裝(適用於 skills.sh 索引的儲存庫):
npx -y skills add <擁有者>/<儲存庫> --skill <slug> -g
-g 在使用者層級安裝。對於僅限 clawhub 的技能,請引導使用者前往其 clawhub.ai/skill/<slug> 頁面並改用 clawhub CLI。
當沒有好結果時
如果沒有結果達到合理的標準,請直接說明,提議直接使用一般能力執行任務,並提及使用者可以建立自己的技能(npx skills init <name>)。不要過度推銷弱匹配。
安全性與隱私
- 腳本僅對公共 API(
skills.sh、clawhub.ai、raw.githubusercontent.com)發出唯讀 HTTP GET 請求,以及唯讀的gh查詢。它只發送查詢字串,並僅寫入暫存檔案(結果 JSON 和掃描期間的候選人 SKILL.md 本體,這些在退出時會丟棄)。 - 它不需要任何 API 金鑰或代碼。
- 內建的安全掃描本身就是一種防禦:它在您信任候選人之前檢查它們。但它是一種啟發式方法 — 乾淨的徽章不是安全稽核。
- 已安裝的技能以完整的代理權限執行。將任何發現的技能視為不受信任的第三方程式碼:在執行之前審查其
SKILL.md和任何捆綁的腳本,並對來自未知作者、請求廣泛工具存取或在執行時擷取遠端程式碼的低安裝技能保持警惕。 - 此技能永遠不會自動安裝任何東西;安裝始終是一個明確的、使用者確認的步驟。
另請參閱
- skills.sh — 最大的 GitHub 索引註冊表
- clawhub.ai — OpenClaw 註冊表,提供更豐富的每個技能統計資料
- 精選列表:
ComposioHQ/awesome-claude-skills、microsoft/skills、bergside/awesome-design-skills






