AI 编程防偷懒:Chrome 工程副总裁的7个斜杠命令与 anti-rationalization 设计
轻量— 7 个斜杠命令,从/spec走到/ship,装完就会用。不用学新框架。防偷懒— anti-rationalization 表格堵死了 AI 找借口的常见姿势。装到你的 AI 编程助手上,AI 会从"好的老板我马上搞"的 junior,变成会说"你这需求没对齐,先走个 spec"的 senior。
AI编程的问题
AI 编程助手写代码快,是真的。
但写了两百行代码后回头一看:spec 没写、测试跳过、上线前没有检查清单、代码里留着 console.log。
不是工具的锅。你用 AI 写代码,说"写个功能",它直接开干,不问你需求对不对。你说"差不多了",它就说"好"。你说"先这样吧",它马上同意。
跟初级工程师一个德性:不是不想做好,是没人告诉它"怎么写才叫好"。
一个项目,23 个 skill
addyosami/agent-skills 是 Chrome 工程副总裁 Addy Osmani 开源的项目,47.5k⭐,29 个贡献者,MIT 协议。
它干的事很简单:教 AI 怎么像高级工程师一样工作,而不是只管写代码。
Repo 里塞了 23 个 skill(22 个工程生命周期 skill + 1 个元技能),覆盖从需求定义到上线的全过程。每个 skill 是一份 Markdown,定义了一个工作流——流程节点、验证门,还有个叫 anti-rationalization 的东西(后面细说)。
7 个斜杠命令
项目内置了 7 个斜杠命令,覆盖完整开发链路:
| 你在干什么 | 敲什么 | 核心原则 |
|---|---|---|
| 定义要做什么 | /spec |
先写 spec,再写代码 |
| 规划怎么做 | /plan |
拆成小块,逐块执行 |
| 逐步构建 | /build |
一次只完成一个切片 |
| 验证质量 | /test |
测试就是证据 |
| 合码前审查 | /review |
代码健康优先 |
| 简化代码 | /code-simplify |
清晰胜过技巧 |
| 上线发布 | /ship |
越快越安全 |
这些命令不是独立的——它们形成一条完整的决策树。你从 /spec 开始,一路走到 /ship,每个节点都有检查和验证门,过不了就不准往下走。
三层架构
项目不只是一个命令列表。它的设计分三层:
Command(命令层)→ Persona(角色层)→ Skill(技能层)
7 个斜杠命令是入口。每个命令绑定一个角色(高级工程师、安全审查员等),角色调用对应的 skill 执行具体工作流。
举个例子:你敲 /spec,触发的不是"写文档"这个简单动作,而是一个完整的需求澄清流程——先列举它的假设(“我假设这是 Web 应用、用 PostgreSQL、现代浏览器”),然后问你是不是对的,确认后才写 spec。spec 写完后锁定,人工审查通过才能进入 /plan。
23 个 skill 的覆盖面
除了 7 个命令直接绑定的 skill,还有大量自动触发的 skill。你在设计 API 接口,自动激活 api-and-interface-design;改 UI 激活 frontend-ui-engineering;进入高风险场景(生产安全、不可逆操作)激活 doubt-driven-development。
高亮几个值得说的:
- doubt-driven-development — 持续集成用只读沙箱跑,对抗性自我审查,跨模型交叉验证。写支付模块或权限逻辑时这个 skill 会自动介入。
- incremental-implementation 有一条有意思的规则:跑成功的命令不许重复跑,除非代码变了。避免 AI 反复跑同样的测试浪费时间。
- context-engineering 在切换任务或感觉输出质量下降时激活,重新加载上下文、清理思维。
- spec-driven-development 包含了把模糊需求变成可测试标准的完整方法论——前面提到的"做快一点"→ LCP < 2.5s 就是它的做法。
Anti-rationalization:最有价值的部分
大多数 Agent skill 只写正向流程——应该怎么做、该走几步、检查什么。但 addyosami/agent-skills 多做了一件事:预判 AI 会找什么借口绕过规则,并且写好了反驳。
每个 skill 带一个 Common Rationalizations 表格:
| "写什么 spec,直接开干吧" | 没有 spec 的代码是一堆技术债 |
| "我在预发布环境测过了,上生产没问题" | 数据不同、流量不同、边缘情况不同 |
| "测试后面再补" | "后面"永远不会来 |
| "这个很简单,不需要功能开关" | 每个功能都需要一个安全开关 |
| "监控等上线后再加" | 上线后才发现问题已经来不及了 |
乍看很简单,但几乎所有同类项目都只写"该做什么",没人想 AI 会找借口绕过。这个表格的作用是降低"找借口"这条路径被选中的概率——Agent 输出借口之前,已经被显式枚举了。
这个思路值得抄到任何 AI 工作流里。每步之前加一个"你可能想偷懒,但理由不成立"的 check。
怎么装
这个项目不是 Hermes skill,它是给 Claude Code / Cursor / GitHub Copilot 等 AI 编程助手用的。
Claude Code 装法(推荐):
/plugin marketplace add addyosami/agent-skills
/plugin install agent-skills@addy-agent-skills
或手动克隆:
git clone https://github.com/addyosmani/agent-skills.git
claude --plugin-dir /path/to/agent-skills
Cursor: 把需要的 SKILL.md 复制到 .cursor/rules/ 目录。
GitHub Copilot: 把 agents/ 目录中的角色定义配置为 Copilot 指令,skill 内容放在 .github/copilot-instructions.md。
其他 AI 助手: 所有 skill 都是纯 Markdown,任何接受 system prompt 的工具都能用。
总结
addyosami/agent-skills 就两件事:
- 轻量 — 7 个斜杠命令,从
/spec走到/ship,装完就会用。不用学新框架。 - 防偷懒 — anti-rationalization 表格堵死了 AI 找借口的常见姿势。
装到你的 AI 编程助手上,AI 会从"好的老板我马上搞"的 junior,变成会说"你这需求没对齐,先走个 spec"的 senior。
安全审查报告
┌─────────────────────────────────────────────┐
│ Agent Skills — 安全审查报告 │
├─────────────────────────────────────────────┤
│ │
│ 红线清单 │
│ ❌ 凭据窃取 / 网络钓鱼 │
│ ❌ 代码混淆 / Base64 编码可疑代码 │
│ ❌ 数据外泄 / 隐式 API 调用 │
│ ❌ 跨 skill 污染 │
│ ❌ 权限滥用 / 越权访问 │
│ ❌ 远程代码执行 │
│ ❌ 持久化后门 / 潜伏机制 │
│ ❌ 违反 Hermes 红线(仅配置级安装) │
│ │
│ Hermes 特有风险 │
│ ❌ 安装后自动修改 config.yaml 或 .env │
│ ❌ 安装后自动导入额外的外部 SKILL.md │
│ ❌ 安装后自动调用 shell 命令 │
│ │
│ 权限需求 │
│ 📁 无文件写入权限(纯 Markdown skill) │
│ 🌐 无网络请求(skill 文件不包含 API 调用) │
│ 🔧 无 shell 执行 │
│ │
│ 风险等级: 🟢 低 │
│ 裁决: ✅ 安全,可安装 │
│ │
│ 结论:47.5k⭐、29 贡献者、MIT 协议、纯 Markdown │
│ skill、Google 副总裁维护。权限最小必要,装之前 │
│ 不用怀疑它。 │
└─────────────────────────────────────────────┘
安装说明
Claude Code:
/plugin marketplace add addyosami/agent-skills
/plugin install agent-skills@addy-agent-skills
Cursor:
cp -r skills/* .cursor/rules/
项目地址: https://github.com/addyosmani/agent-skills
汇聚全球AI编程工具,助力开发者即刻编程。
更多推荐
11
0- 0
已为社区贡献4条内容
所有评论(0)