sumulige-claude 1.5.1 → 1.5.2

package/.claude/hooks/hook-registry.json

@@ -2,21 +2,6 @@
   "$schema": "hook-registry-schema.json",
   "$comment": "Hook Dispatcher Registry - Controls which hooks run and when",
 
-  "plan-gate": {
-    "events": ["PreToolUse"],
-    "toolMatch": ["Write", "Edit"],
-    "enabled": true,
-    "description": "强制规划检查 - 无批准计划阻止 Write/Edit"
-  },
-
-  "live-quality": {
-    "events": ["PostToolUse"],
-    "toolMatch": ["Write", "Edit"],
-    "debounce": 1000,
-    "enabled": true,
-    "description": "实时质量检查 - 写入后立即检查代码质量"
-  },
-
   "thinking-silent": {
     "events": ["AgentStop"],
     "debounce": 5000,

package/.claude/rules/coding-style.md

@@ -2,7 +2,18 @@
 
 > 代码风格规则 - 所有代码必须遵守
 
-## 不可变性 (CRITICAL)
+## 优先级说明
+
+| 标签 | 含义 | 处理方式 |
+|------|------|----------|
+| 🔴 CRITICAL | 必须遵守 | 违反将阻止提交 |
+| 🟠 HIGH | 应该遵守 | 代码审查必查 |
+| 🟡 MEDIUM | 建议遵守 | 提升代码质量 |
+| 🟢 LOW | 可选遵守 | 团队约定 |
+
+---
+
+## 🔴 CRITICAL: 不可变性 [CS-001]
 
 **始终创建新对象，永不变异：**
 
@@ -22,7 +33,7 @@ function updateUser(user, name) {
 }
 ```
 
-## 文件组织
+## 🟠 HIGH: 文件组织 [CS-002]
 
 **多个小文件 > 少数大文件：**
 
@@ -34,7 +45,7 @@ function updateUser(user, name) {
 
 原则：高内聚，低耦合
 
-## 错误处理
+## 🔴 CRITICAL: 错误处理 [CS-003]
 
 **始终全面处理错误：**
 
@@ -48,7 +59,7 @@ try {
 }
 ```
 
-## 输入验证
+## 🔴 CRITICAL: 输入验证 [CS-004]
 
 **始终验证用户输入：**
 
@@ -63,7 +74,7 @@ const schema = z.object({
 const validated = schema.parse(input)
 ```
 
-## 代码质量检查清单
+## 🟡 MEDIUM: 代码质量检查清单 [CS-005]
 
 完成工作前确认：
 
@@ -76,7 +87,7 @@ const validated = schema.parse(input)
 - [ ] 无硬编码值
 - [ ] 无变异（使用不可变模式）
 
-## 命名规范
+## 🟢 LOW: 命名规范 [CS-006]
 
 | 类型 | 规范 | 示例 |
 |------|------|------|
@@ -86,7 +97,7 @@ const validated = schema.parse(input)
 | 类/组件 | PascalCase | `UserProfile`, `DataService` |
 | 文件 | kebab-case 或 PascalCase | `user-service.ts`, `UserProfile.tsx` |
 
-## 禁止的模式
+## 🟠 HIGH: 禁止的模式 [CS-007]
 
 ```typescript
 // ❌ 魔法数字

package/.claude/rules/hooks.md

@@ -2,7 +2,18 @@
 
 > 自动化钩子使用指南 - 融合自 everything-claude-code
 
-## Hook 类型
+## 优先级说明
+
+| 标签 | 含义 | 处理方式 |
+|------|------|----------|
+| 🔴 CRITICAL | 安全相关 | 必须配置 |
+| 🟠 HIGH | 质量保障 | 强烈推荐 |
+| 🟡 MEDIUM | 效率提升 | 建议配置 |
+| 🟢 LOW | 便利功能 | 可选配置 |
+
+---
+
+## 🟠 HIGH: Hook 类型 [HOOK-001]
 
 | 类型 | 触发时机 | 用途 |
 |------|---------|------|
@@ -10,11 +21,11 @@
 | PostToolUse | 工具执行后 | 格式化、检查、通知 |
 | Stop | 会话结束时 | 总结、清理、保存 |
 
-## 推荐的 Hook 配置
+## 🔴 CRITICAL: 推荐的 Hook 配置 [HOOK-002]
 
 ### PreToolUse Hooks
 
-**1. Git Push 审查**
+**1. Git Push 审查** (🔴 安全)
 
 在 `git push` 前确认分支和状态：
 
@@ -43,7 +54,7 @@ module.exports = {
 }
 ```
 
-**2. 敏感文件保护**
+**2. 敏感文件保护** (🔴 安全)
 
 防止修改关键配置文件：
 

package/.claude/rules/performance.md

@@ -2,7 +2,17 @@
 
 > 性能和资源管理规则
 
-## 模型选择策略
+## 优先级说明
+
+| 标签 | 含义 | 处理方式 |
+|------|------|----------|
+| 🔴 CRITICAL | 必须遵守 | 影响系统稳定性 |
+| 🟠 HIGH | 应该遵守 | 影响效率和成本 |
+| 🟡 MEDIUM | 建议遵守 | 优化体验 |
+
+---
+
+## 🟠 HIGH: 模型选择策略 [PERF-001]
 
 根据任务复杂度选择合适的模型：
 
@@ -22,7 +32,7 @@ Reviewer    → Opus (需要严谨分析)
 Librarian   → Haiku (文档整理)
 ```
 
-## Context Window 管理
+## 🔴 CRITICAL: Context Window 管理 [PERF-002]
 
 **关键原则**：避免在 context 的最后 20% 进行复杂操作
 
@@ -37,7 +47,7 @@ Librarian   → Haiku (文档整理)
 - 文档更新
 - 简单 bug 修复
 
-## MCP 管理
+## 🟠 HIGH: MCP 管理 [PERF-003]
 
 **关键**：不要同时启用所有 MCP
 
@@ -59,7 +69,7 @@ Librarian   → Haiku (文档整理)
 }
 ```
 
-## 构建故障排除
+## 🟡 MEDIUM: 构建故障排除 [PERF-004]
 
 构建失败时：
 
@@ -68,7 +78,7 @@ Librarian   → Haiku (文档整理)
 3. 增量修复
 4. 每次修复后验证
 
-## 复杂任务策略
+## 🟡 MEDIUM: 复杂任务策略 [PERF-005]
 
 对于需要深度推理的任务：
 

package/.claude/rules/security.md

@@ -2,7 +2,18 @@
 
 > 安全规则 - 所有提交必须遵守
 
-## 提交前强制检查
+## 优先级说明
+
+| 标签 | 含义 | 处理方式 |
+|------|------|----------|
+| 🔴 CRITICAL | 必须遵守 | 违反将阻止提交 |
+| 🟠 HIGH | 应该遵守 | 代码审查必查 |
+
+**注意**：安全规则全部为 🔴 CRITICAL 或 🟠 HIGH，无低优先级项。
+
+---
+
+## 🔴 CRITICAL: 提交前强制检查 [SEC-001]
 
 每次提交代码前必须确认：
 
@@ -15,7 +26,7 @@
 - [ ] **速率限制** - API 端点有请求限制
 - [ ] **错误信息** - 不泄露敏感数据
 
-## 密钥管理
+## 🔴 CRITICAL: 密钥管理 [SEC-002]
 
 ```typescript
 // ❌ 永远不要这样做
@@ -29,7 +40,7 @@ if (!apiKey) {
 }
 ```
 
-## 安全响应协议
+## 🔴 CRITICAL: 安全响应协议 [SEC-003]
 
 发现安全问题时：
 
@@ -39,7 +50,7 @@ if (!apiKey) {
 4. **轮换** 任何已暴露的密钥
 5. **审查** 整个代码库是否有类似问题
 
-## 敏感文件
+## 🟠 HIGH: 敏感文件管理 [SEC-004]
 
 以下文件永远不应提交：
 
@@ -54,3 +65,128 @@ secrets.yaml
 ```
 
 确保 `.gitignore` 包含这些模式。
+
+---
+
+## 正确/错误对比示例
+
+### SQL 注入防护
+
+```typescript
+// ❌ 错误：字符串拼接（SQL 注入风险）
+const query = `SELECT * FROM users WHERE id = ${userId}`
+db.query(query)
+
+// ❌ 错误：模板字符串（同样危险）
+db.query(`SELECT * FROM users WHERE email = '${email}'`)
+
+// ✅ 正确：参数化查询
+db.query('SELECT * FROM users WHERE id = $1', [userId])
+
+// ✅ 正确：使用 ORM
+await prisma.user.findUnique({ where: { id: userId } })
+```
+
+### XSS 防护
+
+```tsx
+// ❌ 错误：直接渲染用户内容
+<div dangerouslySetInnerHTML={{ __html: userComment }} />
+
+// ❌ 错误：URL 中注入
+<a href={`javascript:${userInput}`}>Click</a>
+
+// ✅ 正确：使用 DOMPurify 清理
+import DOMPurify from 'dompurify'
+<div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(userComment) }} />
+
+// ✅ 更好：直接渲染文本（自动转义）
+<div>{userComment}</div>
+
+// ✅ 正确：URL 验证
+const safeUrl = url.startsWith('https://') ? url : '#'
+<a href={safeUrl}>Link</a>
+```
+
+### 认证授权
+
+```typescript
+// ❌ 错误：仅前端检查权限
+if (user.role === 'admin') {
+  showAdminPanel()
+}
+
+// ❌ 错误：信任客户端传来的 userId
+app.delete('/users/:id', (req, res) => {
+  userService.delete(req.params.id)  // 谁都能删任何人！
+})
+
+// ✅ 正确：后端验证权限
+app.delete('/users/:id', authenticate, authorize('admin'), (req, res) => {
+  // 只有 admin 角色才能到达这里
+  userService.delete(req.params.id)
+})
+
+// ✅ 正确：用户只能操作自己的资源
+app.delete('/users/:id', authenticate, (req, res) => {
+  if (req.user.id !== req.params.id && req.user.role !== 'admin') {
+    return res.status(403).json({ error: 'Forbidden' })
+  }
+  userService.delete(req.params.id)
+})
+```
+
+### 错误信息处理
+
+```typescript
+// ❌ 错误：暴露内部细节
+app.use((err, req, res, next) => {
+  res.status(500).json({
+    error: err.message,
+    stack: err.stack,  // 泄露代码路径！
+    query: req.query,  // 泄露请求参数！
+  })
+})
+
+// ❌ 错误：暴露数据库错误
+catch (err) {
+  res.json({ error: `Database error: ${err.message}` })
+}
+
+// ✅ 正确：通用错误 + 内部日志
+app.use((err, req, res, next) => {
+  // 内部记录详细错误
+  logger.error('Request failed', {
+    error: err,
+    requestId: req.id,
+    path: req.path
+  })
+
+  // 返回通用错误给客户端
+  res.status(500).json({
+    error: 'Internal server error',
+    requestId: req.id  // 用于追踪
+  })
+})
+```
+
+### 速率限制
+
+```typescript
+// ❌ 错误：无速率限制（DDoS/暴力破解风险）
+app.post('/login', (req, res) => {
+  // 攻击者可以无限尝试密码
+})
+
+// ✅ 正确：添加速率限制
+import rateLimit from 'express-rate-limit'
+
+const loginLimiter = rateLimit({
+  windowMs: 15 * 60 * 1000,  // 15 分钟
+  max: 5,                     // 最多 5 次
+  message: 'Too many login attempts, please try again later'
+})
+
+app.post('/login', loginLimiter, (req, res) => {
+  // 现在受保护了
+})

package/.claude/rules/testing.md

@@ -2,11 +2,21 @@
 
 > 测试规则 - 所有代码必须遵守
 
-## 核心原则
+## 优先级说明
+
+| 标签 | 含义 | 处理方式 |
+|------|------|----------|
+| 🔴 CRITICAL | 必须遵守 | 违反将阻止提交 |
+| 🟠 HIGH | 应该遵守 | 代码审查必查 |
+| 🟡 MEDIUM | 建议遵守 | 提升代码质量 |
+
+---
+
+## 🟠 HIGH: 核心原则 [TEST-001]
 
 **测试先于代码**：使用 TDD 工作流，先写测试再实现。
 
-## 覆盖率要求
+## 🔴 CRITICAL: 覆盖率要求 [TEST-002]
 
 | 代码类型 | 最低覆盖率 |
 |---------|-----------|
@@ -15,7 +25,7 @@
 | 认证逻辑 | 100% |
 | 安全相关代码 | 100% |
 
-## 提交前检查
+## 🔴 CRITICAL: 提交前检查 [TEST-003]
 
 每次提交前必须：
 
@@ -30,27 +40,27 @@
 npm test && npm run lint
 ```
 
-## 测试类型要求
+## 🟠 HIGH: 测试类型要求 [TEST-004]
 
-### 单元测试 (必须)
+### 单元测试 (🔴 必须)
 
 - 每个公共函数都有测试
 - 测试边界情况（null, empty, max）
 - 测试错误路径
 
-### 集成测试 (必须)
+### 集成测试 (🟠 必须)
 
 - 每个 API 端点都有测试
 - 测试正常响应和错误响应
 - Mock 外部依赖
 
-### E2E 测试 (关键流程)
+### E2E 测试 (🟡 关键流程)
 
 - 登录/认证流程
 - 核心业务流程
 - 支付/金融流程
 
-## 测试反模式 (禁止)
+## 🟠 HIGH: 测试反模式 [TEST-005]
 
 ❌ **测试实现细节**
 ```typescript
@@ -71,7 +81,126 @@ test('updates same user', () => { ... }) // 依赖前一个
 await page.waitForTimeout(5000)
 ```
 
-## CI 集成
+---
+
+## 正确/错误对比示例
+
+### 异步测试
+
+```typescript
+// ❌ 错误：忘记 await
+test('fetches user', () => {
+  const user = fetchUser(1)  // Promise 未等待！
+  expect(user.name).toBe('John')  // 总是失败
+})
+
+// ❌ 错误：回调地狱
+test('creates user', (done) => {
+  createUser({ name: 'John' }).then(user => {
+    expect(user.name).toBe('John')
+    done()
+  })
+})
+
+// ✅ 正确：async/await
+test('fetches user', async () => {
+  const user = await fetchUser(1)
+  expect(user.name).toBe('John')
+})
+```
+
+### Mock 使用
+
+```typescript
+// ❌ 错误：Mock 真实数据库（测试太慢）
+test('creates user', async () => {
+  const user = await db.user.create({ data: { name: 'John' } })
+  expect(user.name).toBe('John')
+})
+
+// ❌ 错误：过度 Mock（测不到真问题）
+jest.mock('../services/userService')
+jest.mock('../repositories/userRepo')
+jest.mock('../utils/validator')
+// 一切都是假的，测试毫无意义
+
+// ✅ 正确：只 Mock 外部依赖
+jest.mock('../lib/emailClient')  // 外部服务
+
+test('creates user and sends welcome email', async () => {
+  const user = await userService.create({ name: 'John', email: 'j@example.com' })
+
+  expect(user.name).toBe('John')
+  expect(emailClient.send).toHaveBeenCalledWith({
+    to: 'j@example.com',
+    subject: 'Welcome!'
+  })
+})
+```
+
+### 测试数据
+
+```typescript
+// ❌ 错误：硬编码 ID（脆弱）
+test('fetches user', async () => {
+  const user = await fetchUser('123e4567-e89b-12d3-a456-426614174000')
+})
+
+// ❌ 错误：依赖全局状态
+let createdUserId: string
+
+test('creates user', async () => {
+  const user = await createUser({ name: 'John' })
+  createdUserId = user.id  // 污染其他测试
+})
+
+test('fetches user', async () => {
+  const user = await fetchUser(createdUserId)  // 依赖上一个测试
+})
+
+// ✅ 正确：每个测试独立
+describe('UserService', () => {
+  let testUser: User
+
+  beforeEach(async () => {
+    testUser = await createTestUser()  // 工厂函数
+  })
+
+  afterEach(async () => {
+    await cleanupTestData()
+  })
+
+  test('fetches user', async () => {
+    const user = await fetchUser(testUser.id)
+    expect(user.name).toBe(testUser.name)
+  })
+})
+```
+
+### 断言方式
+
+```typescript
+// ❌ 错误：只测 truthy（不精确）
+expect(result).toBeTruthy()
+expect(users).toBeTruthy()
+expect(count).toBeTruthy()
+
+// ❌ 错误：测试实现细节
+expect(component.state.isLoading).toBe(false)
+expect(component.instance().handleClick).toBeDefined()
+
+// ✅ 正确：测试行为和输出
+expect(result).toEqual({ id: 1, name: 'John' })
+expect(users).toHaveLength(3)
+expect(count).toBe(42)
+
+// ✅ 正确：测试用户可见的结果
+expect(screen.getByText('Loading...')).toBeInTheDocument()
+expect(screen.queryByText('Loading...')).not.toBeInTheDocument()
+expect(screen.getByRole('button', { name: 'Submit' })).toBeEnabled()
+```
+
+## 🟡 MEDIUM: CI 集成 [TEST-006]
 
 CI 流水线必须：
 

package/.claude/rules/web-design-standard.md

@@ -2,7 +2,18 @@
 
 > 定义什么是好的设计，而非仅提供资源
 
-## 核心哲学
+## 优先级说明
+
+| 标签 | 含义 | 处理方式 |
+|------|------|----------|
+| 🔴 CRITICAL | 必须遵守 | 违反将显著影响用户体验 |
+| 🟠 HIGH | 应该遵守 | 设计审查必查 |
+| 🟡 MEDIUM | 建议遵守 | 提升设计质量 |
+| 🟢 LOW | 可选遵守 | 风格偏好 |
+
+---
+
+## 🟠 HIGH: 核心哲学 [DESIGN-001]
 
 ```
 "Visual design is not about expressing yourself.
@@ -12,7 +23,7 @@
 
 **奥卡姆剃刀**：能删则删。文字、线条、边框——如果移除不影响含义，就移除它。
 
-## 三大铁律
+## 🔴 CRITICAL: 三大铁律 [DESIGN-002]
 
 | 铁律 | 含义 | 检查方式 |
 |------|------|----------|
@@ -20,13 +31,13 @@
 | **接近 = 相关性** | 靠近的被感知为一组 | 相关内容放一起 |
 | **视觉层级** | 对比 + 接近 = 导航路标 | 眯眼测试：第一眼看哪？ |
 
-## 设计决策流程
+## 🟠 HIGH: 设计决策流程 [DESIGN-003]
 
 ```
 需求 → 信息层级 → 排版 → 颜色 → 间距 → 交互 → 验证
 ```
 
-### Step 1: 信息层级
+### Step 1: 信息层级 (🔴)
 
 ```
 问自己：
@@ -36,7 +47,7 @@
 4. 什么可以删除？（装饰、冗余）
 ```
 
-### Step 2: 排版系统
+### Step 2: 排版系统 (🟠)
 
 | 元素 | 规则 |
 |------|------|

package/.claude/skills/algorithmic-art/metadata.yaml

@@ -0,0 +1,28 @@
+name: algorithmic-art
+version: 1.0.0
+author: "@sumulige"
+description: |
+  Creating algorithmic art using p5.js with seeded randomness and interactive parameter exploration.
+  Use this when users request creating art using code, generative art, algorithmic art, flow fields,
+  or particle systems. Create original algorithmic art rather than copying existing artists' work.
+
+tags:
+  - generative-art
+  - p5js
+  - creative-coding
+  - visualization
+  - interactive
+
+triggers:
+  - algorithmic art
+  - generative art
+  - p5.js
+  - flow fields
+  - particle systems
+  - creative coding
+  - procedural art
+
+dependencies:
+  - p5.js
+
+difficulty: advanced

package/.claude/skills/api-tester/SKILL.md

@@ -0,0 +1,61 @@
+# Api Tester
+
+> 简短描述这个技能的作用（一句话）
+
+**版本**: 1.0.0
+**作者**: @username
+**标签**: [category1, category2]
+**难度**: 初级/中级/高级
+
+---
+
+## 概述
+
+详细描述这个技能的功能和用途。
+
+## 适用场景
+
+- 场景 1
+- 场景 2
+- 场景 3
+
+## 触发关键词
+
+```
+keyword1, keyword2, "exact phrase"
+```
+
+## 使用方法
+
+### 基础用法
+
+```bash
+# 示例命令
+your-command-here
+```
+
+### 高级用法
+
+```yaml
+# 配置示例
+key: value
+```
+
+## 输出格式
+
+描述这个技能的输出结果格式。
+
+## 注意事项
+
+- 注意事项 1
+- 注意事项 2
+
+## 相关技能
+
+- [related-skill](../related-skill/)
+- [another-skill](../another-skill/)
+
+## 更新日志
+
+### 1.0.0 (YYYY-MM-DD)
+- 初始版本

package/.claude/skills/api-tester/examples/basic.md

@@ -0,0 +1,3 @@
+# Basic Example for api-tester
+
+Replace this with your actual example.