开源一个扫描网站Skill：yao-websecurity-skill 目前已了解到，有至少3家上市公司，部署了GEOFlow，还有不少朋友，基于这套系统，进行各种二开，包括商业SaaS版 对于它的安全问题，就需要重视下了 另外，越来越多的开源项目，在开发的过程中，安全问题很容易被忽略 于是，写了这个网站安全审查的Skill 设计步骤： 1、通过GTP-5.5 Pro，帮我整理了目前主流的安全漏洞类型，总共调研和梳理了275个常见且高价值的检查项，这个报告也一并开源分享 2、通过yao-meta-skill，基于这275个安全漏洞类型分析报告，形成第一版安全审查Skill 3、多次迭代，增加了：多种安全审查模式、扫描时自动复制并创建临时环境等策略和流程 基本逻辑： 1、内置 275 项网站安全检查清单，覆盖认证授权、API 越权、SSRF、XSS、文件上传、供应链、容器部署、数据库、Redis、WebSocket、AI/RAG 等方向 2、支持多种审查模式：静态审查、低级别动态检查、授权动态审查。默认优先安全，不破坏、不改代码、不碰生产数据 3、所有本地项目和GitHub仓库，都会先进入全新的临时目录和临时运行环境，避免污染原始项目 4、自动生成安全评分表和完整报告，输出四种格式的安全报告 这两天对自己的系统进行了安全扫描，确实发现了不少的安全风险，有了这个报告后，AI就可以进行更针对性的安全风险修复 Skill的GitHub仓库地址：https://github.com/yaojingang/yao-open-skills/tree/main/skills/yao-websecurity-skill… 示例报告： https://github.com/yaojingang/yao-open-skills/tree/main/skills/yao-websecurity-skill/examples/fictional-starbridge-audit… 275个常见安全漏洞类型报告： https://github.com/yaojingang/yao-open-skills/tree/main/skills/yao-websecurity-skill/references…

yaojingang/yao-open-skills

Source: https://github.com/yaojingang/yao-open-skills

Yao Open Skills

A curated collection of production-ready AI skills for research, decision, business, learning, and document generation

OpenYao 延续 YAO = Yielding AI Outcomes 这条方法线。重点不是继续堆更多 prompt 文本，而是把有效的方法、流程、评估、审美约束和执行边界沉淀成可复用的 AI 资产，并最终产生真实可交付的结果。

Yao Open Skills is a growing collection of AI-native skills designed for real-world work: turning uncertain decisions into reports, turning business questions into structured analysis, and turning topics or reference packets into polished tutorial documents.

这个目录同时承担两件事：

• 作为 GitHub 开源合集的本地工作区。
• 作为本地同步管理中心，记录哪些 Skill 已纳入合集、当前公开状态如何、说明页是否已更新。
• 作为后续版本迭代的发布入口，在每次确认更新后同步推送到 GitHub。

Navigation

• OpenYao 理念
• 推荐入口
• Published Skill Guides
• Featured Published Skills
• Skill Catalog
• 发布规则
• 命名规范
• 仓库设计

OpenYao 理念

yao-open-skills 想公开的不是“零散 prompt 收藏”，而是一套更稳定的 AI 资产观：

• Skill 应该服务真实任务结果，而不是只服务对话过程。
• Skill 应该可复用、可维护、可评估，而不是一次性技巧。
• Skill 应该能沉淀为团队资产，而不是停留在个人记忆和聊天记录里。
• 开源合集应该强调方法质量、边界清晰和持续演进，而不是数量堆叠。

换句话说，OpenYao 是把 YAO 的方法论往公开知识库推进一步：让那些值得分享的 Skill，不只存在于本地，而是成为可以被发现、引用、改进和复用的公开能力集合。

Featured Skill Lines

这部分展示的是 OpenYao 计划长期建设的能力线，风格上会尽量保持“功能导向 + 动词感”，避免命名体系散掉。

Skill Doctor Diagnose and fix issues in skills automatically.

Skill Optimizer Improve performance, structure, and effectiveness.

Skill Ranker Evaluate and rank skills based on real impact.

这些名称代表的是产品方向，不等于它们现在都已经作为独立 Skill 收录进仓库。当前仓库会把“已发布能力”和“规划中的能力线”区分开维护。

推荐入口

如果你想理解 OpenYao 背后的元方法，优先看 yao-meta-skill。

这是 YAO 方法线里的元 Skill 项目，用来把工作流、提示词、笔记和执行经验，进一步沉淀成可创建、可评估、可治理、可打包的 Skill 资产。

在这两个仓库之间，关系可以简单理解为：

• yao-meta-skill: 定义如何系统化地创建、评估、治理和打包 Skill
• yao-open-skills: 收录那些已经值得公开分享的 Skill 成果

如果把 yao-meta-skill 理解成“元方法引擎”，那么 yao-open-skills 更像“公开产品化陈列层”。

仓库目标

• 把零散的本地 Skill 整理成一个稳定的公开合集。
• 为每个公开 Skill 保留清晰的来源、收录路径、同步状态和许可证信息。
• 用统一规则筛选 Skill，避免把私有数据、输出产物和实验垃圾一起推到公开仓库。
• 让 YAO 方法论下真正有价值的 Skill 形成一个持续演进的公开资产库。

公开收录标准

• 主题清晰：别人看到 Skill 名称和说明就知道它解决什么问题。
• 可复用：不依赖你个人电脑上的私有上下文才能运行。
• 可清理：能移除敏感信息、缓存、输出物、账号痕迹和内部文档。
• 可维护：你愿意继续修复、迭代和解释它。

详细规则见：

• docs/repository-design.md
• docs/naming-conventions.md
• docs/publishing-rules.md

目录结构

yao-open-skills/
├── README.md
├── docs/
├── registry/
├── scripts/
└── skills/

• docs/: 仓库设计、发布规则、同步规范。
• registry/: Skill 登记表，是本地和公开状态的事实源。
• scripts/: 更新登记表和 README 的辅助脚本。
• skills/: 真正收录进公开合集的 Skill 副本。

Planned Capability Families

为了让这个仓库像生态而不是像杂货堆，先预留两条能力家族目录：

• skills/skill-builder/
• skills/skill-analyzer/

它们当前只是占位目录，用来约束未来的扩展方向。

Published Skill Guides

• Skill Guides Index
• Yao Open Skills Sync
• Skill Doctor
• Yao Bayesian Skill
• Yao Business Skill
• Yao Game Theory Skill
• Yao Kelly Skill
• Yao Tutorial Skill
• Yao Websecurity Skill

Featured Published Skills

Yao Websecurity Skill

yao-websecurity-skill 是一个面向授权网站、SaaS、API、AI 应用、本地代码目录和 GitHub 仓库的安全审查 Skill。

它不是简单调用扫描器，而是先理解系统代码、路由、认证、数据模型、部署配置、依赖和 AI/LLM 集成，再从 V001-V275 漏洞本体中筛选真正相关的检查项，最后输出可复核的安全评分表和审查报告。

它的公开版本现在有这些比较突出的特点：

• 内置 275 个网站安全检查项，覆盖访问控制、认证会话、API、XSS、CSRF、SSRF、文件上传、依赖、容器、CI/CD、数据库、缓存、AI/RAG/LLM 等风险域
• 支持 static、dynamic-safe、dynamic-active、online-authorized 和 hybrid 多种审查模式
• 本地代码和 GitHub 仓库都必须先复制或克隆到全新的临时目录，构建、运行、测试和报告生成都在隔离工作区内完成
• 动态主动测试按授权开关控制，盲 SSRF/OOB、暴力破解、文件变更、数据库写入和资源压力测试默认只允许在隔离临时部署内执行
• 报告默认中文，输出 Excel + HTML + Markdown + PDF + sanitized JSON
• HTML 支持中英切换和粘性顶部导航；Excel 使用中文状态、中文解释和工程分派友好的评分表
• 渲染前会清洗本地绝对路径、Cookie、Bearer Token、API Key、密码、私钥和长 token-like 字符串

如果你想快速理解这个 Skill，建议按这个顺序看：

1. 公开说明文档
2. Skill 入口
3. 目录说明
4. 审查模式
5. 报告契约
6. 漏洞本体
7. 报告脚本
8. 虚构示例报告

Yao Tutorial Skill

yao-tutorial-skill 是一个“从主题或资料包到完整教程成品”的生产型 Skill。

它不是简单帮你写一篇说明文，而是把输入主题、用户给定资料、权威来源、论文、GitHub 实践和案例证据组织成一套可交付教程包：先归一化需求，再做研究取证，再生成面向小白的章节大纲，最后输出带配图的 Markdown + Word + PDF + HTML。

它的公开版本现在有这些比较突出的特点：

• 支持只输入一个主题，也支持输入一组资料、链接、论文、仓库或草稿
• 优先以用户给定资料为核心，资料不足时再补充外部权威来源
• 面向新手写作，标题有用户利益，大纲说人话，章节结构通俗、可执行
• 公开成品不显示 [U1]、[X1] 这类内部证据角标，也不写“基于原文整理”
• 每个章节都必须有一张对应的可视化配图
• 配图先生成 HTML 画板，再截图嵌入教程内容
• HTML 报告支持居中内容容器、左侧目录、日期、章节跳转和清爽阅读排版
• Word/PDF 默认去掉页眉页脚，避免导出路径、页码和浏览器打印信息干扰阅读
• 内置验证脚本，检查章节、配图、引用、导出文件和本地路径泄漏

如果你想快速理解这个 Skill，建议按这个顺序看：

1. 公开说明文档
2. Skill 入口
3. 输入适配规则
4. 教程写作规则
5. 可视化画板规则
6. 导出与验证脚本

Yao Bayesian Skill

yao-bayesian-skill 是当前公开合集里最完整的一类“证据到行动”型 Skill。

它的重点不是把贝叶斯定理讲一遍，而是把一个现实里的不确定问题，压缩成一个能执行、能复盘、能继续迭代的决策流程。

它的公开版本现在有这些比较突出的特点：

• 支持从不完整输入开始，先给弱先验和初步判断
• 支持多轮追问，持续更新先验、后验和决策准备度
• 内置贝叶斯先验检查，从 20 条生活判断原则中挑出本次最相关的 3 到 5 条
• 会记录每一轮对话里，哪些信息改变了判断
• 报告先给普通用户可读的结论，再展示技术细节
• 默认生成 Markdown + 双语 HTML
• HTML 支持中英切换、粘性导航、打印，以及在浏览器里直接存储为 PDF

如果你想快速理解这个 Skill，建议按这个顺序看：

1. 公开说明文档
2. Skill 入口
3. 详细案例输入
4. 导出脚本
5. 示例报告目录

Yao Game Theory Skill

yao-gametheory-skill 是一个面向竞争、谈判、联盟、渠道、平台和竞品反击的博弈论战略报告 Skill。

它适合所有“我们的动作会引发对手反应”的场景：价格战、渠道冲突、竞品反击、平台生态、融资谈判、并购竞价、市场进入、联盟合作和监管沟通。

它不会把博弈论当成教材概念堆叠，而是把 CEO 问题转成玩家、策略、收益、时序、信号、承诺和均衡检查，重点回答：

• 对手可能怎么反应
• 我们的承诺动作是否可信
• 哪个策略在对手反应之后仍然更稳

它的设计原理是：先识别玩家、策略、收益、约束和行动时序，再路由到合适的博弈框架组合，最后把模型转成管理层能直接使用的战略报告。

它的公开版本现在有这些比较突出的特点：

• 内置框架目录和 AI 应用路由器，覆盖纳什均衡、囚徒困境、零和、协调、鹰鸽、猎鹿、进入威慑、Stackelberg、Bertrand/Cournot、信号、重复博弈、拍卖、联盟和机制设计
• 按场景组合框架，而不是机械套概念；例如价格战会组合 Bertrand、囚徒困境、重复博弈和可信承诺
• 新增真实历史行为校正层，用过往威胁兑现率、免费版投入、渠道攻击历史和经验参考来调整对手理性概率，避免高估对手的时间一致性
• 支持从不完整战略输入开始，先建立可更新的弱模型
• 对价格战、渠道冲突、平台生态、并购竞价、融资谈判、竞品免费版和监管沟通都有明确路由
• 报告前置推荐动作、对手反应地图、收益矩阵、历史行为校正、承诺可信度、策略准备度和敏感性检查
• 支持后续对手新动作并入原案例后重跑报告
• 默认生成 Markdown + HTML + Word + PDF + canonical JSON
• Word/PDF 宽表格已做横向页面、真实表格、固定宽度和安全换行处理

如果你想快速理解这个 Skill，建议按这个顺序看：

1. 目录说明
2. 公开说明文档
3. Skill 入口
4. 框架目录与 AI 路由器
5. 价格战示例输入
6. 导出脚本
7. 示例报告目录

工作流

1. 你给出一个本地 Skill 路径。
2. 按规则判断这个 Skill 是否适合公开。
3. 清理敏感文件和无关产物后，复制到 skills/<slug>/。
4. 在 registry/skills.json 写入或更新登记信息。
5. 运行 README 渲染脚本，刷新合集说明页。
6. 如果你要发布，再把仓库推到 GitHub 的 yao-open-skills。

GitHub 发布约定

• GitHub 仓库名固定为 yao-open-skills。
• 本地集合完成变更后，先更新 registry/skills.json 和 README，再执行 Git 提交与推送。
• 只有实际完成推送后，相关 Skill 才能标记为 published，并写入 last_synced_at。
• 如果后续本地源 Skill 有变化，但 GitHub 还没更新，对应记录应标记为 needs-update。

本地管理 Skill

这个仓库内置了一个管理 Skill：

• skills/yao-open-skills-sync/SKILL.md

它的职责是：

• 接收你给的本地 Skill 路径。
• 判断是否适合公开。
• 按合集规则导入到 yao-open-skills。
• 维护登记表和 README 目录页。
• 记录这个 Skill 是否已经同步到 GitHub，以及线上对应路径。

Skill Catalog

后续约定

• registry/skills.json 是事实源。
• README 中的目录表由脚本生成，不手工维护。
• 任何新收录 Skill，都必须先过发布规则，再更新登记表和 README。
• 任何准备公开的变更，都应在整理完成后推送到 GitHub 远程仓库。