find-everything：跨平台资源搜索

触发条件

1. 1. 显式调用：/find-everything {query}
2. 自动检测：用户问有没有xxx工具、帮我找个xxx、有没有skill能...
3. 主动推荐：基于对话上下文判断用户在持续做某类任务且缺少相关工具（best-effort 启发式，同会话最多 1 次）

执行流程

Step 1: 意图分类

将用户查询分类为一个或多个类别：

• - skill: Agent Skills（可安装技能）
• mcp: MCP Servers
• prompt: 提示词模板/角色扮演/图片生成
• repo: GitHub 开源项目

模糊需求同时搜索多个类别。从自然语言中提取核心搜索关键词。

Step 2: 读取注册表并路由

读取 references/registry.json。若读取失败，使用以下硬编码最小源：

• - skills-sh: npx skills find {query}
• github: gh search repos {query} --sort stars --limit 10 --json name,owner,description,url,stargazersCount

筛选规则：

1. 1. 只选 enabled: true 的源
2. 只选 category 包含目标类别的源
3. 检查 requires 是否满足：

- requires 为 CLI 名称（如 npx、gh）→ 用 which 检查
- requires 以 mcp: 开头（如 mcp:prompts-chat）→ 检查对应 MCP tool 是否在当前会话可用（尝试 ToolSearch 或直接调用）

1. 4. 不可用的源跳过，记录到 skippedsources 列表，附带 installhint（如有）

Step 3: Tier 1 搜索

在同一条回复中发起多个独立 tool 调用实现并行：

cli 类型：用 Bash tool 执行 command 字段（{query} 替换为实际关键词），15 秒超时。
mcp 类型：调用 registry.json 中 tool 字段指定的 MCP tool，参数取 tool_params（{query} 替换为实际关键词）。例如：
- search_prompts({ query: blockchain analyst, limit: 10 }) → 返回 prompt 列表
- search_skills({ query: search aggregator, limit: 10 }) → 返回 skill 列表
- 支持的额外过滤参数（按需使用）：type（TEXT/STRUCTURED/IMAGE）、category、tag
skill 类型：调用对应已安装 skill。

若并行不可用，按优先级执行：skills-sh > github > clawhub > 其他。

Step 4: 结果数量预判

基于标题/描述的关键词匹配做轻量判断（非完整 LLM 评估）：

• - ≥3 条匹配度高 → 跳到 Step 6（末尾注明搜索更多源可获取更多结果）
• <3 条或匹配度低 → 继续 Step 5

Step 5: Tier 2/3 搜索

Tier 2：将同类别 Tier 2 源合并为 1 次 WebSearch：

{query} {category关键词} site:skillhub.club OR site:aiskillsshow.com OR site:skillsmp.com

若合并查询返回 <2 条，退回对 Top 2-3 优先源逐个 site: 搜索。

Tier 3（仍不足时）：不带 site: 限定的广域 WebSearch。

Step 6: 结果评估

对每条结果判断相关性：

• - 高相关：保留，排在前面
• 中相关：保留，排在后面，标注可能相关
• 不相关：丢弃

对 Top 3-5 条高相关结果，可选 WebFetch 补充详情。

Step 7: 安全快筛

对所有保留结果做元数据安全标注：

• - [SAFE]：来自注册表已知平台 + 安装量 >100
• [CAUTION]：安装量低、来源不明、或 Tier 3 发现
• [RISK]：名称疑似 typosquat，或其他红旗信号

Step 8: 去重 + 排序

同一工具出现在多个源 → 合并为一条，标注所有来源。
合并时优先保留安装量/star 数最高的来源作为主展示（同一站点可能有 Tier 1 CLI 和 Tier 2 WebSearch 两条结果，合并时保留 Tier 1 数据）。
排序：相关度 > 安全等级 > 安装量/star 数。

Step 9: 展示推荐

格式：

找到 N 个相关结果（来自 X 个源）

1. 1. [名称] [SAFE]

来源: skills.sh | 安装量: 1.2K 简介: ... 推荐理由: ...

1. 2. [名称] [CAUTION]

来源: WebSearch (skillhub.club) | star: 50 简介: ... 注意: 来源非直接 API，建议安装前审查源码

---

未覆盖的搜索源: clawhub CLI（未安装） 提示: npm i -g clawhub

注意：同一依赖缺失提示每会话只展示一次，避免重复打扰。

Step 10: 用户后续操作

用户说看看/详细 → WebFetch 详情页展示更多信息。

用户说安装/用这个 → 触发深度安全扫描：

1. 获取资源内容（按类型）：

资源类型	扫描目标	获取方式
Skill (skills.sh/clawhub)	SKILL.md + scripts/ 目录	优先 WebFetch GitHub 源码（从搜索结果中的 repo URL 获取）；若不可访问，npx skills add <name> 安装到临时目录后读取
MCP Server

package.json + 入口文件 | WebFetch npm registry 页面或 GitHub README，提取入口文件路径后 WebFetch |
| GitHub Repo | README.md + 主要脚本文件 | gh api repos/{owner}/{repo}/contents 获取文件列表，WebFetch 关键文件 |
| Prompt | 提示词文本本身 | 通常搜索结果中已包含完整文本，无需额外获取 |

限制： 单次扫描最多 50KB。超出只扫 SKILL.md + 入口文件。

2. 运行安全扫描（路径相对于本 SKILL.md 所在目录解析）：python3 scripts/securityscan.py [--check-name --known-skills references/knownskills.txt]
3. 读取 references/security-checklist.md，结合 security_scan.py 结果做 LLM 上下文评估
4. 输出量化评分（0-100）和风险定级
5. [SAFE] → 执行安装；[CAUTION] → 展示详情让用户确认；[RISK] → 明确提示风险，不自动安装

Step 11: 新站点发现

Tier 3 搜索发现了不在 registry.json 中的优质资源站 → 提示用户：
发现新站点 xxx.com，内容相关度高。要加入搜索注册表吗？
用户确认 → 在 registry.json 的 sources 数组中追加新条目。

错误处理

场景	处理
CLI 超时（15s）	跳过该源，继续其他
WebSearch 错误/限流

跳过 Tier 2，展示 Tier 1 结果 + 提示稍后重试 | | security_scan.py 崩溃 | 退回 LLM-only 评估，标记自动扫描未完成 | | 所有 Tier 1 不可用 | 直接进 Tier 2，注明主要搜索源暂不可用 | | 所有源失败 | 告知用户搜索失败，建议检查网络 |

主动推荐逻辑

触发条件（低频，同会话最多 1 次）：

• - 对话上下文显示用户持续在做某类任务（如调试、前端开发、数据处理）
• 且当前未见明显相关的 skill/MCP 在使用

推荐格式：
[发现] 你正在做 xxx，有一些工具可能有帮助，要搜索看看吗？