@mison/ag-kit-cn 2.0.1

package/.agent/skills/brainstorming/dynamic-questioning.md

@@ -0,0 +1,359 @@
+# 动态提问生成
+
+> **原则：** 提问的目的不是为了收集数据，而是为了**揭示架构层面的后果**。
+>
+> 每一个提问都必须关联到一个具体的实现决策，且该决策会影响成本、复杂度或时间线。
+
+---
+
+## 🧠 核心原则
+
+### 1. 提问揭示后果
+
+一个好的问题不是问“您想要什么颜色？”，而是：
+
+```markdown
+❌ 错误提问: "您想要哪种认证方式？"
+✅ 正确提问: "用户应该通过 邮箱/密码 还是 社交登录 进行注册？"
+
+影响:
+
+- 邮箱/密码 → 需要密码重置逻辑、哈希加密存储、2FA（双因素认证）基础设施
+- 社交登录 → 涉及 OAuth（授权协议）提供商、用户资料映射，但自主控制力较弱
+
+权衡: 安全性 vs 开发时间 vs 用户流失率
+```
+
+### 2. 背景先行
+
+首先要理解这个请求属于哪种**背景**：
+
+| 背景 | 提问焦点 |
+| ---- | -------- |
+| **新项目（Greenfield）** | 基础设施决策：技术栈、托管方式、规模规划 |
+| **功能新增（Feature Addition）** | 集成点、现有模式、破坏性变更的可能性 |
+| **重构（Refactor）** | 为何重构？性能？可维护性？现有什么问题？ |
+| **调试（Debug）** | 现象 → 根本原因 → 复现路径 |
+
+### 3. 最小可行提问
+
+**原则：** 每个问题都必须能消除实现路径上的一个分叉。
+
+```
+提问前:
+├── 路径 A: 执行 X (5 分钟)
+├── 路径 B: 执行 Y (15 分钟)
+└── 路径 C: 执行 Z (1 小时)
+
+提问后:
+└── 路径已确认: 执行 X (5 分钟)
+```
+
+如果一个提问不能减少实现路径的选择范围 → **请删掉它**。
+
+### 4. 生成数据而非假设
+
+```markdown
+❌ 错误假设: "用户可能想用 Stripe 处理支付"
+✅ 正确提问: "哪种支付服务商符合您的需求？"
+
+Stripe → 文档最全, 2.9% + $0.30, 核心市场在欧美
+LemonSqueezy → 代收代缴全球税费, 5% + $0.50, 全球化支持好
+Paddle → 价格较复杂, 处理欧盟增值税, 偏向企业级
+```
+
+---
+
+## 📋 提问生成算法
+
+```
+输入: 用户请求 + 背景（新项目/功能/重构/调试）
+│
+├── 步骤 1: 解析请求
+│   ├── 提取领域（电商, 认证, 实时通讯, CMS（内容管理系统）等）
+│   ├── 提取功能（显式的和隐喻的）
+│   └── 提取规模指标（用户量, 数据量, 频率）
+│
+├── 步骤 2: 识别决策点
+│   ├── 编写代码前“必须”决定什么？（阻塞性决策）
+│   ├── 哪些决策可以延后？（可延迟决策）
+│   └── 哪些具有“架构性”影响？（高杠杆决策）
+│
+├── 步骤 3: 生成问题（按优先级排序）
+│   ├── P0: 阻塞性决策（不回答则无法继续）
+│   ├── P1: 高杠杆决策（影响 >30% 的实现工作）
+│   ├── P2: 中等杠杆（影响特定功能）
+│   └── P3: 可选（边缘情况, 优化项）
+│
+└── 步骤 4: 格式化每个提问
+    ├── 内容: 清晰的问题
+    ├── 理由: 对实现的影响
+    ├── 选项: 权衡方案（不只是 A vs B）
+    └── 默认值: 如果用户不回答，我们会怎么做
+```
+
+---
+
+## 🎯 特定领域问题库
+
+### 电子商务
+
+| 提问 | 为什么这很重要 | 权衡方案 |
+| ---- | -------------- | -------- |
+| **是单商户还是多商户？** | 多商户 → 需要分佣逻辑、卖家工作台、分账支付 | +收入, -开发复杂度 |
+| **是否需要库存跟踪？** | 需要库存表、预留逻辑、低库存警报 | +准确度, -开发时间 |
+| **是数字产品还是实物产品？** | 数字 → 涉及下载链接, 无物流 | 实物 → 涉及物流 API（接口）, 快递跟踪 |
+| **订阅制还是单次购买？** | 订阅 → 涉及循环计费、催收、按比例退款逻辑 | +长期收入, -开发复杂度 |
+
+### 身份验证
+
+| 提问 | 为什么这很重要 | 权衡方案 |
+| ---- | -------------- | -------- |
+| **是否需要社交登录？** | 引入 OAuth（授权协议）提供商 vs 编写密码重置等基础设施 | +UX（用户体验）, -自主控制权 |
+| **是否需要基于角色的权限（RBAC）？** | 需要 RBAC 表、策略执行逻辑、管理员 UI | +安全性, -开发时间 |
+| **是否需要双因素认证（2FA）？** | 涉及 TOTP/SMS（一次性口令/短信）基础设施、备份验证码、恢复流程 | +安全性, -用户注册损耗 |
+| **是否需要邮件验证？** | 涉及验证令牌、邮件服务、重发逻辑 | +安全性, -注册流失率 |
+
+### 实时通讯
+
+| 提问 | 为什么这很重要 | 权衡方案 |
+| ---- | -------------- | -------- |
+| **采用 WebSocket 还是轮询（Polling）？** | WebSocket → 涉及服务器扩展、连接管理 | 轮询 → 更简单，但延迟高 |
+| **预期并发用户数？** | <100 → 单机即可, >1000 → 需要 Redis（内存数据库）发布/订阅, >10k → 需要专用基础架构 | +可扩展性, -开发复杂度 |
+| **消息是否需要持久化？** | 涉及历史消息表、存储成本、分页查询 | +用户体验, -存储成本 |
+| **是瞬时消息还是持久消息？** | 瞬时 → 仅存储于内存, 持久 → 发送前先入库 | +可靠性, -延迟增加 |
+
+### 内容管理
+
+| 提问 | 为什么这很重要 | 权衡方案 |
+| ---- | -------------- | -------- |
+| **采用富文本还是 Markdown？** | 富文本 → 涉及内容清洗、XSS 风险 | Markdown → 简单，无所见即所得（WYSIWYG） |
+| **是否需要 草稿/发布 工作流？** | 涉及状态字段、定时任务、版本控制 | +内容管控, -开发复杂度 |
+| **如何处理媒体文件？** | 涉及上传端点、存储、内容优化（裁剪/压缩） | +功能丰富, -开发时间 |
+| **是否需要多语言（Multi-language）？** | 涉及 i18n（国际化）表、翻译 UI、回退逻辑 | +触达范围, -开发复杂度 |
+
+---
+
+## 📐 动态提问模板
+
+```markdown
+基于您对 [领域] [功能] 的需求：
+
+## 🔴 关键决策（阻塞性决策）
+
+### 1. **[决策点]**
+
+**提问:** [清晰、具体的提问]
+
+**为什么这很重要:**
+
+- [解释架构层面的后果]
+- [影响: 成本 / 复杂度 / 时间线 / 规模]
+
+**候选项:**
+| 选项 | 优点 | 缺点 | 最适用场景 |
+|--------|------|------|----------|
+| A | [优势] | [劣势] | [用例] |
+| B | [优势] | [劣势] | [用例] |
+
+**如果不指定:** [默认选择 + 理由]
+
+---
+
+## 🟡 高杠杆决策（影响实现工作）
+
+### 2. **[决策点]**
+
+[同上格式]
+
+---
+
+## 🟢 可选决策（边缘情况）
+
+### 3. **[决策点]**
+
+[同上格式]
+```
+
+---
+
+## 🔄 迭代式提问
+
+### 第一阶段（3-5 个问题）
+
+专注于 **阻塞性决策**。在获得答案前不要继续。
+
+### 第二阶段（初步实现后）
+
+随着模式的显现，询问：
+
+- “这个功能隐含了 [X] 的需求。我们现在处理 [边缘情况] 还是先延后？”
+- “我们目前使用了 [模式 A]。[功能 B] 是否也应遵循同样的模式？”
+
+### 第三阶段（优化阶段）
+
+当功能可以正常运行后：
+
+- “[X] 处存在性能瓶颈。现在优化还是目前可以接受？”
+- “[Y] 处是否需要为了可维护性进行重构，或者直接发布？”
+
+---
+
+## 🎭 示例：全流程提问生成
+
+```
+用户请求: "做一个 Instagram 克隆版"
+
+步骤 1: 解析
+├── 领域: 社交媒体
+├── 功能: 照片分享, 互动 (点赞/评论), 用户资料
+├── 隐含需求: 动态流（Feed）, 关注功能, 身份验证
+└── 规模: 潜在的高并发 (社交应用易病毒式传播)
+
+步骤 2: 决策点
+├── 阻塞性: 存储策略, 认证方式, 动态流类型
+├── 高杠杆: 实时通知, 数据模型复杂度
+└── 可延迟: 数据分析, 高级搜索, 短视频
+
+步骤 3: 生成提问 (优先级)
+
+P0 (阻塞):
+1. 存储策略 → 影响架构、成本、速度
+2. 动态流算法 → 影响数据库查询、复杂度
+3. 认证方式 → 影响开发时间、体验、安全
+
+P1 (高杠杆):
+4. 实时通知 → WebSocket vs 轮询
+5. 媒体处理 → 客户端 vs 服务端优化
+
+P2 (可延迟):
+6. 故事/短视频 → 功能蔓延严重，延至 v2（第二版）
+7. 私信/聊天 → 独立的子系统，延至 v2（第二版）
+
+步骤 4: 格式化输出
+```
+
+---
+
+## 📊 生成的输出示例
+
+```
+针对您的 Instagram 克隆版需求：
+
+## 🔴 关键决策（不回答则无法继续）
+
+### 1. **照片存储策略**
+
+**提问:** 用户照片将存储并托管在何处？
+
+**为什么这很重要:**
+- 影响: 每月托管成本、页面加载速度、CDN（内容分发网络）复杂度
+- 高流量社交应用示例: 1000 用户 × 10 张图 × 2MB = 20GB 存储需求
+
+**候选项:**
+| 选项 | 成本 | 速度 | 复杂度 | 最适用场景 |
+|--------|------|-------|------------|----------|
+| **Cloudinary** | $89/月 (25GB) | 极快 (自带 CDN（内容分发网络）) | 低 | MVP（最小可行产品）, 快速上线 |
+| **AWS S3 + CloudFront** | $0.023/GB | 极快 (CDN（内容分发网络）) | 中 | 生产环境, 成本优化 |
+| **Supabase Storage** | 免费额度 1GB | 中等 | 低 | 小规模, 简单应用 |
+| **本地存储** | 仅服务器成本 | 慢 | 低 | 仅限开发调试 |
+
+**如果不指定:** 默认选择 Cloudinary (均衡了 MVP（最小可行产品）开发效率)
+
+---
+
+### 2. **动态流（Feed）算法选择**
+
+**提问:** 主动态流应如何运作？
+
+**为什么这很重要:**
+- 影响: 数据库查询复杂度、缓存策略、开发时间
+- 算法推荐流需要机器学习基础架构和排序信号支持
+
+**候选项:**
+| 选项 | 复杂度 | 数据库影响 | 最适用场景 |
+|--------|------------|-----------------|----------|
+| **时间轴（倒序）** | 低 | 简单查询 | 早期阶段, 信息透明 |
+| **仅关注者可见** | 中 | 关联查询 + 分页 | 大多数社交应用的基础 |
+| **算法推荐** | 高 | 预计算动态流表 | 专业的 Instagram 竞品 |
+
+**如果不指定:** 默认选择 “仅关注者可见” (社交应用的平衡选择)
+
+---
+
+### 3. **身份验证方案**
+
+**提问:** 用户如何注册和登录？
+
+**为什么这很重要:**
+- 影响: 开发时间 (2-5 小时), 安全等级, 用户体验摩擦力
+
+**候选项:**
+| 选项 | 开发耗时 | 安全性 | 用户体验 | 最适用场景 |
+|--------|----------|----------|-----|----------|
+| **邮箱/密码** | 4-5 小时 | 高 (若加 2FA) | 中 | 需要完全自主控制 |
+| **仅限社交登录** | 1-2 小时 | 取决于提供商 | 极佳 | B2C 应用, 快速获客 |
+| **魔术链接（Email/邮箱）** | 2-3 小时 | 中 | 较好 | 关注安全, 无需密码 |
+| **Clerk/Auth0** | 1 小时 | 极高 | 极佳 | 追求最快上线速度 |
+
+**如果不指定:** 默认选择 Clerk (对 MVP（最小可行产品）而言最快)
+
+---
+
+## 🟡 高杠杆决策（影响架构）
+
+### 4. **实时通知**
+
+**提问:** 用户在获得点赞/评论时是否需要“即时”通知？
+
+**为什么这很重要:**
+- WebSocket（长连接）会增加基础设施复杂度 (扩展时需要 Redis（内存数据库）发布/订阅)
+- 轮询更简单但延迟较高
+
+**候选项:**
+| 选项 | 复杂度 | 扩展成本 | 最适用场景 |
+|--------|------------|------------|----------|
+| **WebSocket（长连接） + Redis（内存数据库）** | 高 | $10+/月 | >1000 并发用户 |
+| **长轮询 (30s)** | 低 | 数据库查询开销 | <1000 用户 |
+| **无实时需求** | 无 | 无 | MVP（最小可行产品）阶段, 先行验证 |
+
+**如果不指定:** 默认选择 “长轮询” (在验证需求前保持简单)
+
+---
+
+## 🟢 优化/次要决策（可延至 v2（第二版））
+
+### 5. **视频/短视频支持**
+- 复杂度极高 (涉及视频转码、流媒体分发、基础设施)
+- **建议**: 首发仅限照片，验证完核心模式后再增加视频支持。
+
+### 6. **私信/即时聊天**
+- 独立的子系统 (聊天架构与动态流架构完全不同)
+- **建议**: 使用 Pusher/Stream 等第三方服务，或首发版本先行略过。
+
+---
+
+## 📋 总结建议
+
+| 决策点 | 推荐方案 | 如果更换方案的影响 |
+|----------|----------------|------------|
+| 存储策略 | Cloudinary | +3 小时配置时间 |
+| 动态流 | 仅关注者可见 | +2 小时查询优化 |
+| 认证方式 | Clerk | -3 小时开发时间 |
+| 实时通知 | 长轮询 | +5 小时 WebSocket 开发 |
+| 视频支持 | 延至 v2（第二版） | N/A（不适用） |
+| 私信功能 | 延至 v2（第二版） | N/A（不适用） |
+
+**预计 MVP（最小可行产品）开发总耗时:** 按上述推荐约 15-20 小时。
+```
+
+---
+
+## 🎯 原则复盘
+
+1. **每一个提问 = 一个架构决策** → 提问不是为了填表格。
+2. **展示权衡方案** → 让用户理解决策的后果。
+3. **阻塞性决策优先** → 保证项目能够立即启动。
+4. **提供默认值** → 即使用户暂无想法，我们也能依据最佳实践推进。
+5. **领域感知** → 电商类提问 ≠ 认证类提问 ≠ 实时通讯类提问。
+6. **迭代式演进** → 随着实现过程中模式的显现，再追加更细致的提问。

package/.agent/skills/clean-code/SKILL.md

@@ -0,0 +1,200 @@
+---
+name: clean-code
+description: 务实的编码标准—— 简洁、直接、不做过度设计、不写无用注释（Pragmatic coding standards）
+allowed-tools: Read, Write, Edit
+version: 2.0
+priority: CRITICAL
+---
+
+# 整洁代码 - 务实的 AI 编码标准
+
+> **Clean Code（整洁代码）是核心技能**—— 保持**简洁、直接并专注于解决方案**。
+
+---
+
+## 核心原则
+
+| 原则 | 规则 |
+|-----------|------|
+| **SRP** | 单一职责（Single Responsibility）—— 每个函数/类只做一件事 |
+| **DRY** | 不要重复（Don't Repeat Yourself）—— 提取重复项并复用 |
+| **KISS** | 保持简单（Keep It Simple）—— 采用能跑通的最简单方案 |
+| **YAGNI** | 你不会需要它（You Aren't Gonna Need It）—— 不构建未被要求的功能 |
+| **Boy Scout** | 离开时让代码比你来时更整洁 |
+
+---
+
+## 命名规则
+
+| 元素 | 规范 |
+|---------|------------|
+| **变量（Variables）** | 揭示意图：`userCount` 而非 `n` |
+| **函数（Functions）** | 动词 + 名词：`getUserById()` 而非 `user()` |
+| **布尔值（Booleans）** | 提问形式：`isActive`, `hasPermission`, `canEdit` |
+| **常量（Constants）** | SCREAMING_SNAKE：`MAX_RETRY_COUNT` |
+
+> **准则：** 如果需要注释解释命名，请直接重命名。
+
+---
+
+## 函数规则
+
+| 规则 | 描述 |
+|------|-------------|
+| **短小（Small）** | 最多 20 行，理想 5-10 行 |
+| **专注（One Thing）** | 只做一件事，并把它做好 |
+| **层次（One Level）** | 每个函数只包含一个抽象层级 |
+| **参数少（Few Args）** | 最多 3 个参数，优先 0-2 个 |
+| **无副作用（No Side Effects）** | 不要产生预期之外的输入状态改变 |
+
+---
+
+## 代码结构
+
+| 模式 | 应用建议 |
+|---------|-------|
+| **卫语句（Guard Clauses）** | 针对边缘情况及早返回 |
+| **扁平化优先（Flat > Nested）** | 避免深度嵌套（最多 2 层） |
+| **组合（Composition）** | 将短小函数组合使用 |
+| **就近原则（Colocation）** | 相关代码尽量放近 |
+
+---
+
+## AI 编码风格
+
+| 场景 | 行动建议 |
+|-----------|--------|
+| 用户要求功能 | 直接编写实现 |
+| 用户报告问题 | 修复，不做多余解释 |
+| 需求不明确 | 先询问，不做假设 |
+
+---
+
+## 反模式（Anti-Patterns）
+
+| ❌ 错误模式 | ✅ 推荐修复 |
+|-----------|-------|
+| 每一行都写注释 | 删除显而易见的注释 |
+| 为单行逻辑封装 helper | 直接内联 |
+| 为 2 个对象写工厂模式 | 直接实例化 |
+| 只有 1 个函数的 utils.ts | 代码放在被使用处 |
+| “First we import...” | 直接写代码 |
+| 深度嵌套 | 使用卫语句 |
+| 使用魔术数字 | 使用具名常量 |
+| 万能函数 | 按职责拆分 |
+
+---
+
+## 🔴 编辑任何文件前（先思考）
+
+**修改文件前先问自己：**
+
+| 提问 | 为什么 |
+|----------|-----|
+| **谁引用了这个文件？** | 修改可能会破坏它们 |
+| **这个文件引用了谁？** | 接口可能需要变更 |
+| **有哪些测试覆盖了这里？** | 测试可能会失败 |
+| **这是共享组件吗？** | 可能影响多个地方 |
+
+**快速检查：**
+```
+File to edit: UserService.ts
+└── Who imports this? → UserController.ts, AuthController.ts
+└── Do they need changes too? → Check function signatures
+```
+
+> 🔴 **准则：** 同一任务内同时编辑该文件与所有受影响的依赖文件。
+> 🔴 **禁止：** 遗留断裂引用或缺失更新。
+
+---
+
+## 总结
+
+| 推荐做法 | 不要做 |
+|----|-------|
+| 直接编写代码 | 编写教程式引导 |
+| 让代码自文档化 | 添加显而易见的注释 |
+| 立即修复问题 | 先解释修复方案 |
+| 内联短小逻辑 | 创建不必要的文件 |
+| 命名清晰准确 | 使用缩写 |
+| 保持函数短小 | 编写超过 100 行的函数 |
+
+> **谨记：** 用户想要的是能运行的代码，而不是一堂编程课。
+
+---
+
+## 🔴 完成前自检（强制）
+
+**在说“任务完成”前请验证：**
+
+| 检查项 | 确认问题 |
+|-------|----------|
+| ✅ **目标达成了吗？** | 是否精准完成用户要求？ |
+| ✅ **文件都改了吗？** | 是否修改了所有必要文件？ |
+| ✅ **代码能跑吗？** | 是否测试/验证该变更？ |
+| ✅ **没有报错吗？** | Lint 和 TypeScript 是否通过？ |
+| ✅ **没遗漏什么吗？** | 是否遗漏边缘情况？ |
+
+> 🔴 **准则：** 任一检查未通过，必须先修复再结束。
+
+---
+
+## 验证脚本（强制）
+
+> 🔴 **核心要求：** 每个代理完成后仅运行所属技能脚本。
+
+### 代理 → 脚本映射
+
+| 代理 | 脚本 | 命令 |
+|-------|--------|---------|
+| **frontend-specialist** | UX Audit | `python .agent/skills/frontend-design/scripts/ux_audit.py .` |
+| **frontend-specialist** | A11y Check | `python .agent/skills/frontend-design/scripts/accessibility_checker.py .` |
+| **backend-specialist** | API Validator | `python .agent/skills/api-patterns/scripts/api_validator.py .` |
+| **mobile-developer** | Mobile Audit | `python .agent/skills/mobile-design/scripts/mobile_audit.py .` |
+| **database-architect** | Schema Validate | `python .agent/skills/database-design/scripts/schema_validator.py .` |
+| **security-auditor** | Security Scan | `python .agent/skills/vulnerability-scanner/scripts/security_scan.py .` |
+| **seo-specialist** | SEO Check | `python .agent/skills/seo-fundamentals/scripts/seo_checker.py .` |
+| **seo-specialist** | GEO Check | `python .agent/skills/geo-fundamentals/scripts/geo_checker.py .` |
+| **performance-optimizer** | Lighthouse | `python .agent/skills/performance-profiling/scripts/lighthouse_audit.py <url>` |
+| **test-engineer** | Test Runner | `python .agent/skills/testing-patterns/scripts/test_runner.py .` |
+| **test-engineer** | Playwright | `python .agent/skills/webapp-testing/scripts/playwright_runner.py <url>` |
+| **Any agent** | Lint Check | `python .agent/skills/lint-and-validate/scripts/lint_runner.py .` |
+| **Any agent** | Type Coverage | `python .agent/skills/lint-and-validate/scripts/type_coverage.py .` |
+| **Any agent** | i18n Check | `python .agent/skills/i18n-localization/scripts/i18n_checker.py .` |
+
+> ❌ **错误做法：** `test-engineer` 运行 `ux_audit.py`
+> ✅ **正确做法：** `frontend-specialist` 运行 `ux_audit.py`
+
+---
+
+### 🔴 脚本输出处理（阅读 → 总结 → 询问）
+
+**运行验证脚本时必须：**
+
+1. **执行脚本**并捕获全部输出
+2. **解析输出**，识别错误、警告与通过项
+3. **按如下格式汇总给用户**
+
+```markdown
+## Script Results: [script_name.py]
+
+### ❌ Errors Found (X items)
+- [File:Line] Error description 1
+- [File:Line] Error description 2
+
+### ⚠️ Warnings (Y items)
+- [File:Line] Warning description
+
+### ✅ Passed (Z items)
+- Check 1 passed
+- Check 2 passed
+
+**Should I fix the X errors?**
+```
+
+4. **Wait for user confirmation** before fixing
+5. **After fixing** → Re-run script to confirm
+
+> 🔴 **VIOLATION:** Running script and ignoring output = FAILED task.
+> 🔴 **VIOLATION:** Auto-fixing without asking = Not allowed.
+> 🔴 **Rule:** Always READ output → SUMMARIZE → ASK → then fix.

package/.agent/skills/code-review-checklist/SKILL.md

@@ -0,0 +1,125 @@
+---
+name: code-review-checklist
+description: 代码审查指南。涵盖代码质量、安全性及最佳实践。
+allowed-tools: Read, Glob, Grep
+---
+
+# 代码审查检查清单
+
+## 快速审查清单
+
+### 正确性
+
+- [ ] **功能对齐**：代码是否实现了预期的功能？
+- [ ] **边缘情况**：是否处理了所有的边缘情况？
+- [ ] **错误处理**：是否建立了完善的错误处理机制？
+- [ ] **无明显 Bug**：是否存在显而易见的逻辑漏洞？
+
+### 安全性
+
+- [ ] **输入校验**：是否对所有输入进行了验证与净化（sanitized）？
+- [ ] **注入防护**：是否存在 SQL/NoSQL 注入风险？
+- [ ] **XSS/CSRF**：是否存在跨站脚本或跨站请求伪造漏洞？
+- [ ] **凭据安全**：是否存在硬编码的密钥（secrets）或敏感凭据？
+- [ ] **AI 特定**：是否针对提示词注入（Prompt Injection）进行了防护（如适用）？
+- [ ] **AI 特定**：输出内容在进入关键接收端（Sinks）前是否已净化？
+
+### 性能
+
+- [ ] **N+1 问题**：是否存在数据库 N+1 查询问题？
+- [ ] **循环优化**：是否存在不必要的循环逻辑？
+- [ ] **缓存策略**：是否使用了适当的缓存机制？
+- [ ] **包体积**：是否考虑了对 bundle size（包体积）的影响？
+
+### 代码质量
+
+- [ ] **命名清晰**：变量及函数命名是否意图明确？
+- [ ] **DRY（不要重复自己）**：是否遵循 DRY 原则，无冗余代码？
+- [ ] **SOLID（面向对象设计原则）**：是否遵循 SOLID 原则？
+- [ ] **抽象层次**：抽象层级是否恰当？
+
+### 测试
+
+- [ ] **单元测试**：新代码是否配有相应的单元测试？
+- [ ] **边缘测试**：边缘情况是否包含在测试范围内？
+- [ ] **可读性**：测试用例是否易于阅读与维护？
+
+### 文档
+
+- [ ] **逻辑注释**：复杂逻辑是否配有必要的说明注释？
+- [ ] **API 文档**：公共 API 是否已记录？
+- [ ] **README**：如有必要，是否已更新项目 README 文件？
+
+---
+
+## AI/LLM（大语言模型）审查模式（2025）
+
+### 逻辑与幻觉
+
+- [ ] **思维链（Chain of Thought）**：其逻辑推理路径是否可验证？
+- [ ] **边缘情况**：AI 是否考虑了空状态、超时及部分失败的情况？
+- [ ] **外部状态**：代码对于文件系统或网络的假设是否安全？
+
+### 提示词工程审查
+
+```markdown
+// ❌ 代码中存在模糊的提示词
+const response = await ai.generate(userInput);
+
+// ✅ 结构化且安全的提示词
+const response = await ai.generate({
+  system: "您是一个专业的解析器……",
+  input: sanitize(userInput),
+  schema: ResponseSchema
+});
+```
+
+---
+
+## 应标识的反模式
+
+```typescript
+// ❌ 魔术数字
+if (status === 3) { ... }
+
+// ✅ 具名常量
+if (status === Status.ACTIVE) { ... }
+
+// ❌ 深度嵌套
+if (a) { if (b) { if (c) { ... } } }
+
+// ✅ 卫语句/早期返回
+if (!a) return;
+if (!b) return;
+if (!c) return;
+// 处理核心逻辑
+
+// ❌ 长函数 (超过 100 行)
+// ✅ 短小且专注的函数
+
+// ❌ 使用 any 类型
+const data: any = ...
+
+// ✅ 使用正确的类型
+const data: UserData = ...
+```
+
+---
+
+## 审查评注指南
+
+```
+// 🔴 阻塞性问题：关键路径中存在 SQL 注入漏洞
+🔴 BLOCKING（阻塞）: 此处存在 SQL 注入风险
+
+// 🟡 重要建议：考虑使用 useMemo 优化性能
+🟡 SUGGESTION（建议）: 考虑此处使用 useMemo 进行性能优化
+
+// 🟢 细节修饰 (Nits)：对于不可变变量，优先使用 const
+🟢 NIT（细节）: 对于不可变变量，建议优先使用 const 而非 let
+
+// ❓ 疑问确认：如果此处用户（User）为空会怎样？
+❓ QUESTION（疑问）: 如果此处 User（用户）为 null 会发生什么情况？
+```
+
+---