問題
選擇 SKILL 缺少可靠依據
Claude Code 和 Codex 有大量社區 skills 與 MCP servers。許多專案散落在 GitHub 倉庫中,缺少統一的評審資訊。安裝前,你往往很難判斷它的權限需求、執行行為和維護狀態。
CldKit 透過評審和 sandbox 執行記錄補充這些訊號。每個進入推薦面的 component 都會先經過測試;你可以線上試用、比較方案,再決定是否安裝。
願景
讓 AGENT 工具變得可信
選擇 agent 工具應該更像選擇經過審查的依賴。CldKit 的目標是把分散的 Skills 和 MCP servers 整理成有證據支撐的決策資訊。
證據優先
我們優先看執行記錄、倉庫元資料和評審筆記,而不是模糊的流行度。
邊界清楚
sandbox 結果是訊號,不是萬能安全保證。我們會說明測了什麼,也說明沒覆蓋什麼。
新鮮度重要
Skills 會漂移。版本、倉庫活躍度和審計時間會被追蹤,避免舊評審看起來像新結論。
工作方式
AGENT + SANDBOX
策展 Agent
閱讀每個 components,按三個維度評分,並回答它是否適合你的技術棧。
線上 Sandbox
在隔離環境中執行任何支援 Try Live 的 skill。把項目憑證交給它之前,先看到真實輸出。
評審層
在組件被推薦之前,結合自動檢查、sandbox 行為、版本新鮮度和人工判斷。
評審方法
我們如何把一個倉庫變成決策
分數是評審證據的壓縮摘要。打開下面的維度,可以看到每項含義、sandbox 如何參與,以及我們的結論邊界在哪裡。
35 分
安全風險優先於便利性。
Token 處理、網路呼叫、依賴衛生、提示注入暴露面。
我們檢查什麼
信任與安全
資料處理
公開目錄頁面對所有人可見。使用者對話、提交和帳戶資料用於運行 CldKit,並提升評審品質。
Sandbox 隔離
Sandbox 會將測試執行與本地專案分離。隔離可以降低影響範圍,但它仍然是有明確邊界的測試環境。
API Key 風險
把每個 MCP 或 Skill 都當作可能接觸憑證的程式碼。優先使用可撤銷、低權限、限定範圍的 token,不要把生產 secrets 貼到 demo 裡。
漏洞回報
如果你發現安全問題、不安全組件、評分不準確或下架訴求,請把細節發到我們的聯絡信箱,我們會處理。
收錄策略
寧少但要跑過
我們更傾向於列出 100 個已執行驗證的 components,而不是堆疊 10,000 個未經驗證的連結。如果某個 skill 還不在這裡,它可能還在隊列中,或尚未通過評審。歡迎提交。