team-skills 1.3.0 → 1.3.2

package/CHANGELOG.md

@@ -5,6 +5,31 @@
 格式基于 [Keep a Changelog](https://keepachangelog.com/zh-CN/1.1.0/)，
 本项目遵循[语义化版本](https://semver.org/lang/zh-CN/spec/v2.0.0.html)。
 
+## [Unreleased]
+
+## [1.3.2] - 2026-06-26
+
+### 新增
+
+- `team-refine` 开发者命令：融合 Spec ↔ Skills 对抗审计（10 维度）+ LLM 执行质量打磨（5 维度），按编排流程顺序逐 Skill 精炼
+- `team-release` 开发者命令：版本发布自动化（更新 package.json + CHANGELOG + install/format/lint/cli-test）
+- 3 个 `_team-rules/` 共享规则文件：`spec-driven-workflow.md`、`task-lifecycle.md`、`ai-collaboration-standards.md`
+- README 新增"开发者斜杠命令"章节
+
+### 变更
+
+- CLAUDE.md 职责分离：仅保留项目开发规范，运行时规则提取到 `_team-rules/`（共享规则从 5 → 8 个）
+- `team-adversarial` 命令重命名为 `team-refine`，默认轮次从 10 调整为 5
+- skill-spec v1.0 重设计：移除 BNF/变量作用域/类型系统，新增引用块子类型 + 输出骨架 + GATE 自我审问 + 20 条设计原则
+- `.claude/commands/` 不再发布和安装到用户端
+
+### 移除
+
+- `hooks/` 目录及全部 hooks 功能（`hooks.json`、`session-start`）：Skills 已通过 IDE 原生机制自动发现，无需 session hook 注入
+- CLI `--no-hooks` 选项（`setup`、`uninstall` 命令）
+- `package.json` `files` 数组中的 `hooks/` 条目
+- 开发者命令 `team-pull`、`team-push`、`team-setup`、`team-uninstall`（功能可通过 git/CLI 直接完成）
+
 ## [1.1.2] - 2026-06-23
 
 ### 变更

package/README.md

@@ -57,9 +57,19 @@ reviewAgent 发现 spec 遗漏 ──→ 自动回退 specAgent
 
 - **5 步验证协议**：确定命令 → 新鲜执行 → 完整阅读 → 检查退出码 → 声明通过
 - **9 条 Constitutional Rules**：不可覆盖的硬约束
-- **反规避条款**：预判 6 种常见借口并逐一反驳
+- **反规避条款**：预判 9 种常见借口并逐一反驳
 - **三视角对抗审查**：攻击者/怀疑者/用户视角反向验证
 
+### 📝 规则沉淀，不是"每次从零"
+
+- **三层规则体系**：项目级 → 模块级 → 任务级，冲突按优先级覆盖
+- **消费方契约**：每条规则含触发条件 + 可执行指令 + 示例，下游 Agent 可直接执行
+
+### 📊 量化评估，不是"凭感觉"
+
+- **7 硬门禁 + 24 评分项**：五维度 100 分制量化打分
+- **反虚构规则**：占位符 >20% 或有效行 <10 → 判定 0 分
+
 ---
 
 ## 🚀 安装
@@ -75,7 +85,7 @@ reviewAgent 发现 spec 遗漏 ──→ 自动回退 specAgent
 npx team-skills@latest setup
 ```
 
-自动将 Skills、斜杠命令和 Hooks 以 symlink 方式安装到全局目录。
+自动将 Skills 以 symlink 方式安装到全局目录（Skills 安装后即为 IDE 斜杠命令）。
 
 启用可选的项目评分功能（`team-score`）：
 
@@ -83,7 +93,7 @@ npx team-skills@latest setup
 npx team-skills@latest setup --with-score
 ```
 
-如需频繁使用 CLI，可全局安装：
+全局安装后可直接在终端调用：
 
 ```bash
 npm i -g team-skills
@@ -106,17 +116,14 @@ npx team-skills@latest init --with-score
 npx team-skills@latest update
 ```
 
-> **提示**：Hooks 仅在全局安装（`setup`）模式下生效，`init` 不安装 hooks。
+> **提示**：全局安装（`setup`）和项目初始化（`init`）的区别在于：setup 使用 symlink 指向包源文件，init 复制文件到项目中支持版本控制和自定义。
 
 ### 安装内容
 
 | 内容 | 位置 | 说明 |
 |------|------|------|
-| 11 个 Agent Skills | `~/.agents/skills/` | Cursor 自动发现 |
-| 11 个 Skill 斜杠命令 | `~/.claude/commands/` | Claude Code `/team-{name}` |
-| 共享规则 | `~/.agents/skills/_team-rules/` | 被所有 Skill 引用 |
-| CLI 辅助命令 | 两端均安装 | team-setup/uninstall/pull/push |
-| Hooks（可选） | `~/.cursor/hooks/` | session-start 自动加载 |
+| 13 个 Agent Skills | `~/.agents/skills/` + `~/.claude/skills/` | Cursor / Claude Code 自动发现（team-score 需 `--with-score`） |
+| 共享规则 | `~/.agents/skills/_team-rules/` + `~/.claude/skills/_team-rules/` | 被所有 Skill 引用 |
 
 ### 验证
 
@@ -129,10 +136,10 @@ npx team-skills@latest update
 
 | 命令 | 说明 | 关键选项 |
 |------|------|----------|
-| `team-skills setup` | symlink 安装到全局目录 | `--with-score` `--no-hooks` `--force` |
+| `team-skills setup` | symlink 安装到全局目录 | `--with-score` `--force` |
 | `team-skills init [dir]` | 复制到项目 IDE 目录 | `--ide <claude\|cursor\|both>` `--with-score` |
 | `team-skills update [dir]` | 升级包 + 更新项目副本 | `--skip-self` `--ide` `--with-score` |
-| `team-skills uninstall` | 移除所有全局 symlink | `--no-hooks` `--no-commands` |
+| `team-skills uninstall` | 移除所有全局 symlink | — |
 | `team-skills list` | 查看全局安装状态 | `--json` |
 
 所有命令支持 `--dry-run`。
@@ -166,10 +173,12 @@ npx team-skills@latest update
 | 已有规格，开始编码 | `/team-impl` |
 | 测试覆盖够吗？ | `/team-test` |
 | 代码质量如何？ | `/team-review` |
+| Review 反馈来了 | `/team-feedback` |
 | 这个 bug 怎么回事？ | `/team-debug` |
 | 测试真的过了吗？ | `/team-verify` |
-| Review 反馈来了 | `/team-feedback` |
 | 代码写完了 | `/team-finish` |
+| AI 安全合规检查 | `/team-security` |
+| 项目做得好不好？ | `/team-score` |
 | 不知道用哪个 | `/using-team-skills` |
 
 ---
@@ -229,7 +238,7 @@ flowchart TD
 
 ## 🗺️ Skill 使用地图
 
-> 从你的场景出发，找到对应的 Skill。实线是你主动调用，虚线是编排器自动调度。
+> 从你的场景出发，找到对应的 Skill。
 
 ```mermaid
 graph TD
@@ -247,8 +256,10 @@ graph TD
     Q -->|"代码就绪，需要审查"| REVIEW[🔍 team-review<br/>→ 五维审查报告]:::skill
     Q -->|"收到审查反馈"| FB[💬 team-feedback<br/>→ 修改方案]:::skill
     Q -->|"遇到 Bug"| DEBUG[🐛 team-debug<br/>→ 根因分析 + 修复]:::skill
-    Q -->|"实现完成，准备合并"| FINISH[🏁 team-finish<br/>→ 合并/PR/清理]:::skill
     Q -->|"声称完成"| VERIFY[✅ team-verify<br/>→ 验证证据链]:::skill
+    Q -->|"实现完成，准备合并"| FINISH[🏁 team-finish<br/>→ 合并/PR/清理]:::skill
+    Q -->|"项目做得好不好"| SCORE[📊 team-score<br/>→ 量化评分报告]:::skill
+    Q -->|"AI 安全合规检查"| SECURITY[🔒 team-security<br/>→ 安全审计报告]:::skill
     Q -->|"不知道用哪个"| USING[🧭 using-team-skills<br/>→ Skill 推荐]:::skill
     Q -->|"需要完整交付流水线"| ORCH[⚙️ team-orchestrator<br/>→ 全自动编排]:::orch
 
@@ -257,17 +268,14 @@ graph TD
     ORCH -.->|自动调度| TEST
     ORCH -.->|自动调度| REVIEW
     ORCH -.->|自动调度| FINISH
+    SCORE -.->|评分时调度| SECURITY
 ```
 
-**使用说明：**
-
-- **实线箭头 →**：你主动调用某个 Skill，适合只做其中一步
-- **虚线箭头 ⇢**：编排器自动调度，适合需要完整流水线
-- 每个 Skill 下方标注了它的产出物
+> 实线 = 你主动调用；虚线 = 编排器自动调度。每个节点下方标注了产出物。
 
 ---
 
-## 📦 包含 11 个可独立使用的 Skill
+## 📦 包含 13 个可独立使用的 Skill
 
 | Skill | 一句话说明 | 使用场景 |
 |-------|-----------|----------|
@@ -276,14 +284,16 @@ graph TD
 | `team-impl` | TDD 红-绿-重构循环实现 | "规格有了，开始写代码" |
 | `team-test` | 四维测试矩阵 + 补充测试 | "测试覆盖够吗？" |
 | `team-review` | 五维审查 + 资产沉淀 + 复盘 | "代码质量如何？" |
-| `team-orchestrator` | 有向图流程编排 + 分支管理，4 个人类介入点 | "我要完整交付流水线" |
-| `team-verify` | 5 步验证门禁，杜绝虚假通过 | "测试真的过了吗？" |
-| `team-debug` | 四阶段根因分析 + 修复 | "这个 bug 怎么回事？" |
 | `team-feedback` | 先验证再实施，非表演性同意 | "Review 反馈来了" |
+| `team-debug` | 四阶段根因分析 + 修复 | "这个 bug 怎么回事？" |
+| `team-verify` | 5 步验证门禁，杜绝虚假通过 | "测试真的过了吗？" |
 | `team-finish` | 分支完成处理（合并/PR/保留/丢弃） | "代码写完了" |
+| `team-orchestrator` | 有向图流程编排 + 分支管理，4 个人类介入点 | "我要完整交付流水线" |
+| `team-score` | 7 硬门禁 + 24 项五维度评分（100 分制） | "项目做得好不好？" |
+| `team-security` | AI 安全红线合规检查（6+4 红线 + 6 场景） | "AI 使用安全吗？" |
 | `using-team-skills` | Meta-skill，自动引导你选正确的 Skill | "我该用哪个？" |
 
-> 每个 Skill 可独立使用，也可通过 `team-orchestrator` 串联成完整流水线。
+> 每个 Skill 可独立使用，也可通过 `team-orchestrator` 串联成完整流水线。`team-score` 为可选评估工具，安装时需 `--with-score`。
 
 ---
 
@@ -320,6 +330,7 @@ docs/
 │
 ├── review-checklist.md             # Review 检查清单（项目级，跨任务累积）
 ├── delivery-checklist.md           # 交付检查清单（项目级，跨任务累积）
+├── security-audit.md               # AI 安全红线合规审计报告（team-security 产出）
 └── specs/                          # SDD 归档（任务验收通过后存档）
 ```
 
@@ -331,6 +342,7 @@ docs/
 | **任务文档** | `tasks/{slug}/` | 随任务创建 | 每个任务独立目录，slug 格式 `{NNNN}-{keyword}` |
 | **项目级清单** | `review-checklist.md` | 跨任务累积 | 每次 Review 发现新检查项后追加，持续积累 |
 | **项目级清单** | `delivery-checklist.md` | 跨任务累积 | 每次交付发现新检查项后追加，持续积累 |
+| **安全审计** | `security-audit.md` | 每次重写 | team-security 产出的 AI 安全红线合规审计报告 |
 | **规格归档** | `specs/` | 验收后存档 | SDD 快照归档，供后续任务参考 |
 
 ### 任务文档产出阶段
@@ -342,19 +354,11 @@ docs/
 | TDD 实现 | `06-tdd-log.md` ~ `08-ai-decisions.md` | `team-impl` |
 | 测试审计 | `09-test-matrix.md` ~ `10-test-report.md` | `team-test` |
 | 代码审查 | `11-review.md` ~ `13-retrospective.md` + `task-rules.md` | `team-review` |
+| 安全审计 | `docs/security-audit.md` | `team-security` |
 | 团队交付 | `14-team.md` + `15-brief.md` | `team-orchestrator` |
 
 ---
 
-## 🔧 兼容性
-
-| 工具 | 调用方式 | 自动发现 |
-|------|----------|----------|
-| **Claude Code** | `/team-{name}` 斜杠命令 | `~/.claude/commands/` |
-| **Cursor** | Skill 自动发现 | `~/.agents/skills/` |
-
----
-
 ## 📚 体系来源
 
 Team Skills 融合了业界多个 AI 协作框架的精华：
@@ -365,7 +369,7 @@ Team Skills 融合了业界多个 AI 协作框架的精华：
 | **OpenSpec** (Fission AI) | Delta Spec 增量规格、RFC 2119 + Given/When/Then |
 | **Karpathy Skills** | 过度抽象防御、死代码清理、困惑管理 |
 | **Agent-Style** | 5 条 LLM 输出质量约束 |
-| **独创** | 有向图回退、质量追溯矩阵、消费方契约、H1-H4 人类介入点 |
+| **独创** | 有向图回退、质量追溯矩阵、消费方契约、H1-H4 人类介入点、100 分制量化评估、Skill Spec Language（20 条设计原则） |
 
 ---
 
@@ -386,6 +390,19 @@ npm run cli-test   # CLI 冒烟测试
 npm run setup      # 安装 Skills 到全局目录
 ```
 
+### Skill 编写规范
+
+编写或修改 Skill 时，请参考 `skills/_team-rules/skill-spec.md`（Skill Spec v1.0：格式约定 + 关键词参考 + 20 条设计原则）。
+
+### 开发者斜杠命令（Claude Code）
+
+在 Claude Code 中可使用以下开发者命令（仅限本仓库，不随 Skills 分发到用户项目）：
+
+| 命令 | 说明 | 参数 |
+|------|------|------|
+| `/team-refine` | 对抗审计（10 维度）+ 执行质量打磨（5 维度），按编排流程顺序逐 Skill 精炼到收敛 | 轮次数，默认 5 |
+| `/team-release` | 版本发布：更新 package.json + CHANGELOG，运行 install/format/lint/cli-test | `patch` / `minor` / `major` / `x.y.z` |
+
 ### CI 流程
 
 提交后 GitHub Actions 自动运行：

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "team-skills",
-  "version": "1.3.0",
+  "version": "1.3.2",
   "description": "AI Agent Skills framework — Spec-Driven development with directed-graph rollback and quality gates",
   "type": "module",
   "bin": {
@@ -10,8 +10,6 @@
     "bin/",
     "src/",
     "skills/",
-    "hooks/",
-    ".claude/commands/",
     "scripts/",
     "examples/",
     "README.md",

package/skills/_team-rules/ai-collaboration-standards.md

@@ -0,0 +1,89 @@
+# AI 协作标准
+
+> 共享规则文件。定义 AI 协作资产管理规范和输出质量标准。
+
+## §1 AI 协作资产管理
+
+### 1.1 三层规则体系
+
+```
+项目级 CLAUDE.md / .cursor/rules/    ← 全局规则，所有任务继承
+  └─ 模块级 {module}/CLAUDE.md        ← 模块特有规则
+      └─ 任务级 task-rules.md          ← 仅本任务适用
+```
+
+冲突时优先级：项目级 > 模块级 > 任务级
+
+### 1.2 消费方契约原则
+
+每条规则 **MUST** 包含三要素：
+
+```markdown
+### 规则：{规则名}
+
+- **触发条件**：{什么时候适用}
+- **可执行指令**：{具体做什么}
+- **示例**：
+  - ✅ 正确：{好的做法}
+  - ❌ 错误：{坏的做法}
+```
+
+不满足三要素的规则视为"空口号"，reviewAgent **MUST** 补全或删除。
+
+### 1.3 资产维护机制
+
+| 触发事件              | 维护动作                                               |
+| --------------------- | ------------------------------------------------------ |
+| Review 发现新通用规则 | 追加到项目 AI 规范文件对应章节                         |
+| 缺陷修复发现新反模式  | 追加到编码规范                                         |
+| AI 输出偏差           | 追加到约束规则                                         |
+| 任务完成验收通过      | task-rules.md 中"可泛化"规则合并到项目级 AI 规范文件   |
+
+### 1.4 内容覆盖索引
+
+8 类必覆盖内容在本框架中的定义位置：
+
+| 内容类别    | 定义位置                                                                  |
+| ----------- | ------------------------------------------------------------------------- |
+| 业务术语    | specAgent `02-context.md` 模板（术语表）                                  |
+| 系统架构    | orchestrator 有向图流程图 + specAgent `03-sdd.md` §四 数据流              |
+| 代码结构    | `_team-rules/task-lifecycle.md` §1（17 文件目录结构）                     |
+| 接口约定    | specAgent `02-context.md`（接口约束表）+ `03-sdd.md` §五/§六              |
+| 编码规范    | `_team-rules/spec-driven-workflow.md` §2 TDD + 本文件 §2.3 输出质量约束 + implAgent 各阶段禁止项 |
+| 测试要求    | `_team-rules/verification-protocol.md` + testAgent 四维测试矩阵           |
+| Review 标准 | reviewAgent 五维度审查 + 严重级别校准（P0-P3 实例）                       |
+| 交付要求    | orchestrator Step 8 完整性检查                                            |
+
+## §2 Prompt 工程规范
+
+### 2.1 五要素结构
+
+每个关键 Prompt **MUST** 包含：
+
+```
+目标：一句话描述要做什么
+上下文：引用的文件/代码/约束
+边界：不可做的事/限制条件
+输出格式：期望的输出结构
+验证标准：如何判断输出正确
+```
+
+### 2.2 纠偏记录
+
+当 AI 输出偏离预期时 **MUST** 记录：
+
+- 偏离描述
+- 纠偏方式（调整了什么）
+- 纠偏前后对比
+
+### 2.3 Agent 输出质量约束
+
+所有 Agent 的文本输出（文档、注释、日志）**MUST** 遵守以下规则：
+
+| 规则         | 说明                                             | 违规示例                           |
+| ------------ | ------------------------------------------------ | ---------------------------------- |
+| 禁止空洞开头 | 不以"好的""当然""让我来"等无信息词开头           | ❌ "好的，我来分析一下这个问题..." |
+| 禁止重复总结 | 不在每个段落末尾重复该段落已说过的内容           | ❌ "综上所述，我们刚才讨论了..."   |
+| 禁止虚假权威 | 不使用"众所周知""显然""毫无疑问"等无证据断言     | ❌ "显然这个方案是最优的"          |
+| 禁止过度修饰 | 产出文档使用直接陈述，不用"非常""极其""至关重要" | ❌ "这个功能至关重要，极其关键"    |
+| 结论先行     | 先给结论再给推理过程，不做悬念铺垫               | ❌ "经过仔细分析...最终得出..."    |