3.1 只用 Skill 的体验
小林决定先用纯 Skill 方案来做代码审查,体验一下"只有 SOP 没有工具箱"是什么感觉。
Skill 方案
小林写了一个安全代码审查的 Skill:
markdown
# SKILL.md: security-code-review
## Instructions
你是一个安全代码审查专家。审查代码时请关注:
1. SQL 注入风险
2. XSS 跨站脚本
3. CSRF 跨站请求伪造
4. 敏感信息泄露
5. 认证授权漏洞
审查流程:
- 先检查输入验证(注入、XSS)
- 再检查认证授权
- 最后检查敏感信息
对每个发现的问题,按以下格式输出:
- 严重程度:🔴高危 / 🟡中危 / 🟢低危
- 位置:文件名:行号
- 描述:问题说明
- 建议:修复方案体验过程
1小林手动打开 GitHub PR 页面,复制代码 diff
2粘贴到 AI 对话框,Skill 自动激活
3AI 按 OWASP 标准逐项审查,输出格式统一 ✅
4审查完成,小林手动把结果复制回 PR 评论
5小林想查历史漏洞模式,但 AI 访问不了数据库 ❌
6下个 PR,小林又要重复步骤 1-4 ❌
能做到什么
| 能力 | 说明 |
|---|---|
| ✅ 审查标准化 | 每次都按 OWASP Top 10 逐项检查 |
| ✅ 流程一致 | 先安全后性能,顺序不乱 |
| ✅ 输出统一 | 严重程度+位置+描述+建议,格式一致 |
| ✅ 零开发成本 | 写好 Markdown 就能用 |
做不到什么
| 局限 | 说明 |
|---|---|
| ❌ 无法自动获取代码 | 每次手动复制粘贴 PR diff |
| ❌ 无法自动发布结果 | 每次手动复制审查结果到 PR |
| ❌ 无法查询历史 | AI 无法访问数据库,无法参照历史模式 |
| ❌ 无法持续运行 | 每个新 PR 都需要人工触发 |
| ⚠️ 软失效风险 | AI 可能跳过某些检查项,但不会报错 |
Token 成本分析
Skill 方案的 Token 消耗(每次对话)
Skill 指令~500 token
PR 代码(手动粘贴)~2000-5000 token
AI 输出(审查结果)~1000-2000 token
每轮总消耗~3500-7500 token
10 个 PR/天~35,000-75,000 token/天
注意:Skill 的 token 成本是持续的——即使 AI 只是简单回答"没有问题",Skill 的 500 token 也要消耗。
小林的评价
适合
• 小团队偶尔审查
• 只需要标准化输出
• 没有开发资源做 MCP
• 审查频率低(1-2 个/天)
不适合
• 需要自动化(不想手动粘贴)
• 审查频率高(5+ 个/天)
• 需要查询历史数据
• 需要持续运行
本节核心要点
- 只用 Skill:审查标准和输出格式好,但一切操作需人工中转
- 最大的痛点:手动获取数据、手动执行操作、无法查询历史
- Token 成本持续——Skill 内容每次对话都消耗
- 适合低频场景,不适合高频自动化