本清單收錄官方文件入口、跨工具標準、社群發現資源、安全掃描工具及研究者工作流工具;評估框架見 03-1、03-2、03-3,裝任何第三方資源前先套用那三節的掃描 SOP。 連結與內容查證截至 2026-06;以官方頁面為準。凡標「需確認原始出處」者動手前再核。社群資源隨時變動,列在這裡只代表「被收錄」,不代表「值得裝」。
1. 官方文件(各工具)
| 供應商 / 工具 | 入口 | 用途 |
|---|
| Anthropic Claude Code | code.claude.com/docs | Claude Code 的官方文件主站;所有 CLI 端設定、Hook、Skill、Subagent、Plugin、MCP 章節首選來源 |
| Anthropic 帳號 / 隱私 | support.claude.com、privacy.claude.com | 帳號設定、Help Improve Claude 開關、保留期限、Team / Enterprise 條款 |
| Anthropic Cowork | anthropic.com/product/claude-cowork | Cowork 產品頁;具體連接器設定機制需查官方支援文件 |
| Anthropic Engineering | anthropic.com/engineering | 工程團隊部落格;context engineering、augmented LLM 等概念性文章 |
| OpenAI ChatGPT | help.openai.com | ChatGPT 消費端的設定、Custom Instructions、Memory 與 Projects |
| OpenAI Codex | developers.openai.com/codex | Codex CLI / IDE 的設定、config.toml、AGENTS.md、hooks(experimental) |
| OpenAI 政策 | openai.com/policies | 資料使用、隱私、API 使用條款 |
| Google Gemini | support.google.com/gemini | Gemini 消費端的 Gems、Personal context、Keep Activity 開關 |
| Google Antigravity | developers.googleblog.com、ai.google.dev、Google Codelabs | Antigravity 與 Gemini API 的開發者文件(部分機制需以你安裝版本的官方頁再核) |
| Google AI 開發者文件 | ai.google.dev | Gemini API 規格、模型卡、計價 |
| GitHub Copilot | docs.github.com/copilot | Copilot 各介面(CLI、IDE、Chat、coding agent)文件總站 |
| VS Code Copilot | code.visualstudio.com/docs/copilot | VS Code 內 Copilot Chat 與 chat.instructionsFilesLocations 等 IDE 設定 |
| Cursor | cursor.com/docs | Cursor 的 rules、ignore 檔、MCP、Composer |
| Linux Foundation AAIF | linuxfoundation.org | Agentic AI Foundation;MCP、goose、AGENTS.md 創始專案治理 |
各供應商在改版時,changelog / release notes 是設定檔名與機制變動的第一手來源。比任何二手整理準、也快。
2. 跨工具標準
- AGENTS.md 標準站:
agents.md。跨工具的開放規則檔標準;Linux Foundation 旗下 Agentic AI Foundation(AAIF)治理。
- MCP(Model Context Protocol)規格站:
modelcontextprotocol.io。MCP 規格、tools / resources / prompts 三類介面定義、transport 演進。
- Claude 官方 MCP server 目錄:
claude.ai/directory。Anthropic 策展的官方 MCP server 清單。
- Snyk Security 公告:
snyk.io 與 security.snyk.io。ToxicSkills 報告、CVE 與第三方元件風險研究。
- GitHub Security Advisories:
github.com/advisories。依套件 / 工具 / 關鍵字查 CVE 與漏洞公告;訂閱你主要依賴的工具與函式庫。
AGENTS.md 是基線(共通規則),各家專屬檔(CLAUDE.md / GEMINI.md / .cursor/rules/*.mdc / .github/copilot-instructions.md)做差異化覆寫或擴充。Claude Code 不原生讀 AGENTS.md,要在 CLAUDE.md 用 @AGENTS.md 匯入。
3. 社群發現入口(非背書)
收錄標準是「有維護、有人用、不是空殼」。品質、維護近度、權限範圍、安全性必須自己用 03-1、03-2、03-3 的框架判斷。 3.1 規則 / Skill / Agent 資源
| 資源 | 主要內容 | 入口 |
|---|
PatrickJS/awesome-cursorrules | Cursor 的 .mdc 規則社群集 | github.com/PatrickJS/awesome-cursorrules |
VoltAgent/awesome-agent-skills | 跨工具 Skill 集(多為 Claude / Cursor) | github.com/VoltAgent/awesome-agent-skills |
kodustech/awesome-agent-skills | 另一份跨工具 Skill 集 | github.com/kodustech/awesome-agent-skills |
addyosmani/agent-skills | 工程導向的 Skill 範本 | github.com/addyosmani/agent-skills |
| Claude Code 相關 Awesome 清單 | 各家社群整理的 plugin / skill / hook 集 | github.com 上搜 awesome claude-code |
3.2 套件市集
| 市集 | 內容 | 入口 |
|---|
| VS Code Marketplace(Copilot 擴充) | Copilot 擴充、語言工具 | marketplace.visualstudio.com |
npm @github/copilot | 新版獨立 copilot CLI | npmjs.com/package/@github/copilot |
| PyPI(Python 套件) | 代理 / agent SDK、評估框架 | pypi.org |
| crates.io(Rust 套件) | 代理 / agent 工具鏈 | crates.io |
3.3 評估與 benchmark
| 資源 | 用途 |
|---|
| 各模型原廠評估頁(Anthropic / OpenAI / Google) | 模型能力官方測試;不要只看這份,自己做個人 benchmark |
| LMSYS Chatbot Arena | 群眾投票比較;社群感知,非個人任務的可靠 proxy |
lmsys/lm-evaluation-harness | 開源評估框架;用於自建任務集 |
openai/evals | OpenAI 開源的評估框架 |
| Hugging Face Hub | 模型、資料集、Spaces 的發現入口;同樣要自己驗證 |
4. 安全與供應鏈工具
| 工具 | 用途 | 入口 |
|---|
rg(ripgrep) | 隱藏 Unicode / bidi、可疑外連、危險指令掃描 | github.com/BurntSushi/ripgrep |
| Snyk | 套件漏洞、ToxicSkills 報告 | snyk.io |
| Trivy | 容器、IaC、SBOM 掃描 | trivy.dev |
bandit | Python 靜態安全分析 | pypi.org/project/bandit |
| Semgrep | 多語言靜態分析,可自訂規則掃供應鏈指紋 | semgrep.dev |
| GitHub Advisory Database | 漏洞資料庫 | github.com/advisories |
| OSV.dev | 跨生態系漏洞資料庫 | osv.dev |
agentshield | 第三方 skill / agent 描述檔的安全掃描工具 | github.com/affaan-m/agentshield [需確認原始出處] |
對一份陌生 Skill 必跑的三條掃描:# 1. 隱藏字元與 bidi 覆寫
rg -nP '[\x{200B}\x{200C}\x{200D}\x{2060}\x{FEFF}\x{202A}-\x{202E}]' ~/.claude/plugins/ .claude/ .mcp.json
# 2. 可疑外連與危險指令
rg -n 'curl|wget|nc|scp|ssh|ANTHROPIC_BASE_URL|enableAllProjectMcpServers' ~/.claude/plugins/ .claude/ .mcp.json
# 3. HTML 註解、script、base64
rg -n '<!--|<script|data:text/html|base64,' ~/.claude/plugins/ .claude/ .mcp.json
5. 對研究者的延伸資源
5.1 本地推論與部署
| 工具 | 用途 | 入口 |
|---|
| vLLM | 高吞吐 LLM 服務;適合研究環境的本地服務化 | github.com/vllm-project/vllm |
| llama.cpp | CPU / Apple Silicon / 低 VRAM 上的本地推論 | github.com/ggerganov/llama.cpp |
| SGLang | 結構化生成、radix attention、推理優化 | github.com/sgl-project/sglang |
| Ollama | 開箱即用的本地模型管理 | ollama.com |
| LM Studio | GUI 本地模型管理 | lmstudio.ai |
| Hugging Face Transformers | 模型載入、推論、訓練的事實標準函式庫 | huggingface.co/docs/transformers |
| Hugging Face Hub | 模型 / 資料集 / Spaces 入口 | huggingface.co |
| Open WebUI | 自架聊天介面,可接 Ollama / OpenAI 相容 API | github.com/open-webui/open-webui |
| llama-swap | 多模型動態切換代理 | github.com/mostlygeek/llama-swap |
| GPU-Stack | 多 GPU / 多節點的推論編排 | github.com/gpustack/gpustack |
5.2 學術工作流整合
| 資源 | 用途 |
|---|
arxiv.org | 預印本;SOTA 追蹤起點(要查過審的話看同行評閱期刊) |
| Semantic Scholar、Google Scholar | 引用圖與被引計數;用於文獻回顧的「誰引用了誰」 |
| Connected Papers、Litmaps、ResearchRabbit | 視覺化引用圖,找相關論文 |
| Zotero(搭配 Better BibTeX) | 參考文獻管理;可與 Obsidian / VS Code 串接 |
| Obsidian + Citations / Zotero Integration plugin | 把文獻 metadata 拉進筆記 |
| Overleaf | 線上 LaTeX;多人共筆與範本庫 |
| Zettlr、Obsidian | Markdown 優先的長文寫作環境 |
| Pandoc | Markdown / LaTeX / DOCX 互轉;產出最終稿的主力 |
| LangChain / LlamaIndex | RAG、agent 框架;用於文獻檢索增強與自動化 |
| OpenReview | 會議審稿公開紀錄;查 reviewer 意見與 rebuttal 品質 |
| Papers with Code | 把論文與實作 / benchmark 綁在一起;找開源實作的入口 |
5.3 可重現性工具
| 工具 | 用途 |
|---|
| Git | 版控基底;commit 規範、.gitignore 模板見本 Playbook 各章節 |
| uv | Python 套件與環境管理(CLI / 腳本 / Web 用途) |
| conda / Miniconda | 科學運算、ML、CUDA 相依套件管理 |
| Docker / Docker Compose | 可重現環境封裝;agent 工作流可整個打包成 container |
| Devcontainer(VS Code / GitHub Codespaces) | 雲端或本機的標準化開發環境 |
| pytest | Python 測試框架;搭配 pytest-cov 達 80% 覆蓋 |
| pre-commit | 把 lint / type-check / format 在 commit 前擋下 |
uv run / nix run | 一次性、可拋棄的執行環境 |
6. 開發者環境與平台
| 資源 | 用途 |
|---|
| Supabase / pgvector | 後端 + 向量資料庫;自建 RAG 最常見路徑 |
| MinIO | S3 相容物件儲存;自建資料湖 |
| Cloudflare(Workers、Tunnels、Zero Trust、WARP、WAF、DNS、R2) | 邊緣運算與零信任網路;個人 / 小團隊的低成本選項 |
| Tailscale | 零設定 mesh VPN;自架跨機器代理網路 |
| acme.sh | 自動化 TLS 憑證;對外服務最低成本 HTTPS |
| n8n | 可視化工作流編排;非工程師也能串接多個 API |
| LangGraph | 把 agent 流程寫成有狀態的 graph;用於複雜多步任務 |
這裡只列常用的「自架 / 平台」選項,選用細節見各供應商官方文件與你的具體部署需求(延遲、頻寬、成本、法規)。
7. 使用社群資源的標準 SOP
你看到一份熱門 Skill / Plugin / MCP server,走這七步:
- 來源審查:作者具名?組織是誰?最後 commit 距今多久?issue tracker 活躍嗎?
- 檔案審查:把
SKILL.md / plugin.json / .mcp.json / hooks.json 讀完;前 50 行有沒有可疑指令或外連?
- 權限審查:要寫檔嗎?連網嗎?要 token 嗎?對應到任務「真的需要嗎」?
- 隔離測試:先在 throwaway 環境或容器內裝、跑一次空任務、觀察網路與檔案行為。
- 掃描:套第 4 節的
rg 三條掃描;任何 hit 都不跳過。
- 追蹤:追作者 release;升版前重跑這 5 步。
- 紀錄:把審查結果寫進
MEMORY.md 或專案文件;下次有同事問你能不能裝,直接附上紀錄。
8. 對應單元
