# npm-skills - Doramagic AI Context Pack

> 定位：安装前体验与判断资产。它帮助宿主 AI 有一个好的开始，但不代表已经安装、执行或验证目标项目。

## 充分原则

- **充分原则，不是压缩原则**：AI Context Pack 应该充分到让宿主 AI 在开工前理解项目价值、能力边界、使用入口、风险和证据来源；它可以分层组织，但不以最短摘要为目标。
- **压缩策略**：只压缩噪声和重复内容，不压缩会影响判断和开工质量的上下文。

## 给宿主 AI 的使用方式

你正在读取 Doramagic 为 npm-skills 编译的 AI Context Pack。请把它当作开工前上下文：帮助用户理解适合谁、能做什么、如何开始、哪些必须安装后验证、风险在哪里。不要声称你已经安装、运行或执行了目标项目。

## Claim 消费规则

- **事实来源**：Repo Evidence + Claim/Evidence Graph；Human Wiki 只提供显著性、术语和叙事结构。
- **事实最低状态**：`supported`
- `supported`：可以作为项目事实使用，但回答中必须引用 claim_id 和证据路径。
- `weak`：只能作为低置信度线索，必须要求用户继续核实。
- `inferred`：只能用于风险提示或待确认问题，不能包装成项目事实。
- `unverified`：不得作为事实使用，应明确说证据不足。
- `contradicted`：必须展示冲突来源，不得替用户强行选择一个版本。

## 它最适合谁

- **正在使用 Claude/Codex/Cursor/Gemini 等宿主 AI 的开发者**：README 或插件配置提到多个宿主 AI。 证据：`README.md` Claim：`clm_0004` supported 0.86
- **希望把专业流程带进宿主 AI 的用户**：仓库包含 Skill 文档。 证据：`skills/npm/SKILL.md` Claim：`clm_0005` supported 0.86

## 它能做什么

- **AI Skill / Agent 指令资产库**（可做安装前预览）：项目包含可被宿主 AI 读取的 Skill 或 Agent 指令文件，可用于把专业流程带入 Claude、Codex、Cursor 等宿主。 证据：`skills/npm/SKILL.md` Claim：`clm_0001` supported 0.86
- **多宿主安装与分发**（需要安装后验证）：项目包含插件或 marketplace 配置，说明它面向一个或多个 AI 宿主的安装和分发。 证据：`.claude-plugin/marketplace.json`, `.claude-plugin/plugin.json` Claim：`clm_0002` supported 0.86
- **命令行启动或安装流程**（需要安装后验证）：项目文档中存在可执行命令，真实使用需要在本地或宿主环境中运行这些命令。 证据：`README.md` Claim：`clm_0003` supported 0.86

## 怎么开始

- `curl -sL https://github.com/scagogogo/npm-skills/releases/latest/download/npm-skills_0.2.0_linux_x86_64.tar.gz | tar -xz` 证据：`README.md` Claim：`clm_0006` supported 0.86
- `curl -sL https://github.com/scagogogo/npm-skills/releases/latest/download/npm-skills_0.2.0_aarch64.tar.gz | tar -xz` 证据：`README.md` Claim：`clm_0007` supported 0.86

## 继续前判断卡

- **当前建议**：仅建议沙盒试装
- **为什么**：项目存在安装命令、宿主配置或本地写入线索，不建议直接进入主力环境，应先在隔离环境试装。

### 30 秒判断

- **现在怎么做**：仅建议沙盒试装
- **最小安全下一步**：先跑 Prompt Preview；若仍要安装，只在隔离环境试装
- **先别相信**：真实输出质量不能在安装前相信。
- **继续会触碰**：命令执行、宿主 AI 配置、本地环境或项目文件

### 现在可以相信

- **适合人群线索：正在使用 Claude/Codex/Cursor/Gemini 等宿主 AI 的开发者**（supported）：有 supported claim 或项目证据支撑，但仍不等于真实安装效果。 证据：`README.md` Claim：`clm_0004` supported 0.86
- **适合人群线索：希望把专业流程带进宿主 AI 的用户**（supported）：有 supported claim 或项目证据支撑，但仍不等于真实安装效果。 证据：`skills/npm/SKILL.md` Claim：`clm_0005` supported 0.86
- **能力存在：AI Skill / Agent 指令资产库**（supported）：可以相信项目包含这类能力线索；是否适合你的具体任务仍要试用或安装后验证。 证据：`skills/npm/SKILL.md` Claim：`clm_0001` supported 0.86
- **能力存在：多宿主安装与分发**（supported）：可以相信项目包含这类能力线索；是否适合你的具体任务仍要试用或安装后验证。 证据：`.claude-plugin/marketplace.json`, `.claude-plugin/plugin.json` Claim：`clm_0002` supported 0.86
- **能力存在：命令行启动或安装流程**（supported）：可以相信项目包含这类能力线索；是否适合你的具体任务仍要试用或安装后验证。 证据：`README.md` Claim：`clm_0003` supported 0.86
- **存在 Quick Start / 安装命令线索**（supported）：可以相信项目文档出现过启动或安装入口；不要因此直接在主力环境运行。 证据：`README.md` Claim：`clm_0006` supported 0.86

### 现在还不能相信

- **真实输出质量不能在安装前相信。**（unverified）：Prompt Preview 只能展示引导方式，不能证明真实项目中的结果质量。
- **宿主 AI 版本兼容性不能在安装前相信。**（unverified）：Claude、Cursor、Codex、Gemini 等宿主加载规则和版本差异必须在真实环境验证。
- **不会污染现有宿主 AI 行为，不能直接相信。**（inferred）：Skill、plugin、AGENTS/CLAUDE/GEMINI 指令可能改变宿主 AI 的默认行为。 证据：`.claude-plugin/marketplace.json`, `.claude-plugin/plugin.json`, `skills/npm/SKILL.md`
- **可安全回滚不能默认相信。**（unverified）：除非项目明确提供卸载和恢复说明，否则必须先在隔离环境验证。
- **真实安装后是否与用户当前宿主 AI 版本兼容？**（unverified）：兼容性只能通过实际宿主环境验证。 证据：`.claude-plugin/marketplace.json`, `.claude-plugin/plugin.json`
- **项目输出质量是否满足用户具体任务？**（unverified）：安装前预览只能展示流程和边界，不能替代真实评测。
- **安装命令是否需要网络、权限或全局写入？**（unverified）：这影响企业环境和个人环境的安装风险。 证据：`README.md`

### 继续会触碰什么

- **命令执行**：包管理器、网络下载、本地插件目录、项目配置或用户主目录。 原因：运行第一条命令就可能产生环境改动；必须先判断是否值得跑。 证据：`README.md`
- **宿主 AI 配置**：Claude/Codex/Cursor/Gemini/OpenCode 等宿主的 plugin、Skill 或规则加载配置。 原因：宿主配置会改变 AI 后续工作方式，可能和用户已有规则冲突。 证据：`.claude-plugin/marketplace.json`, `.claude-plugin/plugin.json`, `skills/npm/SKILL.md`
- **本地环境或项目文件**：安装结果、插件缓存、项目配置或本地依赖目录。 原因：安装前无法证明写入范围和回滚方式，需要隔离验证。 证据：`.claude-plugin/marketplace.json`, `.claude-plugin/plugin.json`, `README.md`
- **宿主 AI 上下文**：AI Context Pack、Prompt Preview、Skill 路由、风险规则和项目事实。 原因：导入上下文会影响宿主 AI 后续判断，必须避免把未验证项包装成事实。

### 最小安全下一步

- **先跑 Prompt Preview**：用安装前交互式试用判断工作方式是否匹配，不需要授权或改环境。（适用：任何项目都适用，尤其是输出质量未知时。）
- **只在隔离目录或测试账号试装**：避免安装命令污染主力宿主 AI、真实项目或用户主目录。（适用：存在命令执行、插件配置或本地写入线索时。）
- **先备份宿主 AI 配置**：Skill、plugin、规则文件可能改变 Claude/Cursor/Codex 的默认行为。（适用：存在插件 manifest、Skill 或宿主规则入口时。）
- **安装后只验证一个最小任务**：先验证加载、兼容、输出质量和回滚，再决定是否深用。（适用：准备从试用进入真实工作流时。）

### 退出方式

- **保留安装前状态**：记录原始宿主配置和项目状态，后续才能判断是否可恢复。
- **准备移除宿主 plugin / Skill / 规则入口**：如果试装后行为异常，可以把宿主 AI 恢复到试装前状态。
- **记录安装命令和写入路径**：没有明确卸载说明时，至少要知道哪些目录或配置需要手动清理。
- **如果没有回滚路径，不进入主力环境**：不可回滚是继续前阻断项，不应靠信任或运气继续。

## 哪些只能预览

- 解释项目适合谁和能做什么
- 基于项目文档演示典型对话流程
- 帮助用户判断是否值得安装或继续研究

## 哪些必须安装后验证

- 真实安装 Skill、插件或 CLI
- 执行脚本、修改本地文件或访问外部服务
- 验证真实输出质量、性能和兼容性

## 边界与风险判断卡

- **把安装前预览误认为真实运行**：用户可能高估项目已经完成的配置、权限和兼容性验证。 处理方式：明确区分 prompt_preview_can_do 与 runtime_required。 Claim：`clm_0008` inferred 0.45
- **宿主 AI 插件或 Skill 规则冲突**：新规则可能改变用户现有宿主 AI 的工作方式。 处理方式：安装前先检查插件 manifest 和 Skill 文件，必要时隔离测试。 证据：`.claude-plugin/marketplace.json`, `.claude-plugin/plugin.json` Claim：`clm_0009` supported 0.86
- **命令执行会修改本地环境**：安装命令可能写入用户主目录、宿主插件目录或项目配置。 处理方式：先在隔离环境或测试账号中运行。 证据：`README.md` Claim：`clm_0010` supported 0.86
- **待确认**：真实安装后是否与用户当前宿主 AI 版本兼容？。原因：兼容性只能通过实际宿主环境验证。
- **待确认**：项目输出质量是否满足用户具体任务？。原因：安装前预览只能展示流程和边界，不能替代真实评测。
- **待确认**：安装命令是否需要网络、权限或全局写入？。原因：这影响企业环境和个人环境的安装风险。

## 开工前工作上下文

### 加载顺序

- 先读取 how_to_use.host_ai_instruction，建立安装前判断资产的边界。
- 读取 claim_graph_summary，确认事实来自 Claim/Evidence Graph，而不是 Human Wiki 叙事。
- 再读取 intended_users、capabilities 和 quick_start_candidates，判断用户是否匹配。
- 需要执行具体任务时，优先查 role_skill_index，再查 evidence_index。
- 遇到真实安装、文件修改、网络访问、性能或兼容性问题时，转入 risk_card 和 boundaries.runtime_required。

### 任务路由

- **AI Skill / Agent 指令资产库**：先基于 role_skill_index / evidence_index 帮用户挑选可用角色、Skill 或工作流。 边界：可做安装前 Prompt 体验。 证据：`skills/npm/SKILL.md` Claim：`clm_0001` supported 0.86
- **多宿主安装与分发**：先说明这是安装后验证能力，再给出安装前检查清单。 边界：必须真实安装或运行后验证。 证据：`.claude-plugin/marketplace.json`, `.claude-plugin/plugin.json` Claim：`clm_0002` supported 0.86
- **命令行启动或安装流程**：先说明这是安装后验证能力，再给出安装前检查清单。 边界：必须真实安装或运行后验证。 证据：`README.md` Claim：`clm_0003` supported 0.86

### 上下文规模

- 文件总数：152
- 重要文件覆盖：40/152
- 证据索引条目：68
- 角色 / Skill 条目：1

### 证据不足时的处理

- **missing_evidence**：说明证据不足，要求用户提供目标文件、README 段落或安装后验证记录；不要补全事实。
- **out_of_scope_request**：说明该任务超出当前 AI Context Pack 证据范围，并建议用户先查看 Human Manual 或真实安装后验证。
- **runtime_request**：给出安装前检查清单和命令来源，但不要替用户执行命令或声称已执行。
- **source_conflict**：同时展示冲突来源，标记为待核实，不要强行选择一个版本。

## Prompt Recipes

### 适配判断

- 目标：判断这个项目是否适合用户当前任务。
- 预期输出：适配结论、关键理由、证据引用、安装前可预览内容、必须安装后验证内容、下一步建议。

```text
请基于 npm-skills 的 AI Context Pack，先问我 3 个必要问题，然后判断它是否适合我的任务。回答必须包含：适合谁、能做什么、不能做什么、是否值得安装、证据来自哪里。所有项目事实必须引用 evidence_refs、source_paths 或 claim_id。
```

### 安装前体验

- 目标：让用户在安装前感受核心工作流，同时避免把预览包装成真实能力或营销承诺。
- 预期输出：一段带边界标签的体验剧本、安装后验证清单和谨慎建议；不含真实运行承诺或强营销表述。

```text
请把 npm-skills 当作安装前体验资产，而不是已安装工具或真实运行环境。

请严格输出四段：
1. 先问我 3 个必要问题。
2. 给出一段“体验剧本”：用 [安装前可预览]、[必须安装后验证]、[证据不足] 三种标签展示它可能如何引导工作流。
3. 给出安装后验证清单：列出哪些能力只有真实安装、真实宿主加载、真实项目运行后才能确认。
4. 给出谨慎建议：只能说“值得继续研究/试装”“先补充信息后再判断”或“不建议继续”，不得替项目背书。

硬性边界：
- 不要声称已经安装、运行、执行测试、修改文件或产生真实结果。
- 不要写“自动适配”“确保通过”“完美适配”“强烈建议安装”等承诺性表达。
- 如果描述安装后的工作方式，必须使用“如果安装成功且宿主正确加载 Skill，它可能会……”这种条件句。
- 体验剧本只能写成“示例台词/假设流程”：使用“可能会询问/可能会建议/可能会展示”，不要写“已写入、已生成、已通过、正在运行、正在生成”。
- Prompt Preview 不负责给安装命令；如用户准备试装，只能提示先阅读 Quick Start 和 Risk Card，并在隔离环境验证。
- 所有项目事实必须来自 supported claim、evidence_refs 或 source_paths；inferred/unverified 只能作风险或待确认项。

```

### 角色 / Skill 选择

- 目标：从项目里的角色或 Skill 中挑选最匹配的资产。
- 预期输出：候选角色或 Skill 列表，每项包含适用场景、证据路径、风险边界和是否需要安装后验证。

```text
请读取 role_skill_index，根据我的目标任务推荐 3-5 个最相关的角色或 Skill。每个推荐都要说明适用场景、可能输出、风险边界和 evidence_refs。
```

### 风险预检

- 目标：安装或引入前识别环境、权限、规则冲突和质量风险。
- 预期输出：环境、权限、依赖、许可、宿主冲突、质量风险和未知项的检查清单。

```text
请基于 risk_card、boundaries 和 quick_start_candidates，给我一份安装前风险预检清单。不要替我执行命令，只说明我应该检查什么、为什么检查、失败会有什么影响。
```

### 宿主 AI 开工指令

- 目标：把项目上下文转成一次对话开始前的宿主 AI 指令。
- 预期输出：一段边界明确、证据引用明确、适合复制给宿主 AI 的开工前指令。

```text
请基于 npm-skills 的 AI Context Pack，生成一段我可以粘贴给宿主 AI 的开工前指令。这段指令必须遵守 not_runtime=true，不能声称项目已经安装、运行或产生真实结果。
```

## 角色 / Skill 索引

- 共索引 1 个角色 / Skill / 项目文档条目。

- **npm**（skill）：NPM Registry client — query and manage packages, versions, dist-tags, downloads, access, stars, tokens, webhooks, orgs, and audit. Supports publish, unpublish, deprecate, custom registry, 8 mirrors, proxy, and auth token. Trigger phrases: "npm package", "npm publish", "npm registry", "search npm", "npm stats", "npm mirror", "npm 版本", "npm 包", "npm 镜像", "npm 发布", "npm 审计". 激活提示：当用户任务与“npm”描述的流程高度相关时，先用它做安装前体验，再决定是否安装。 证据：`skills/npm/SKILL.md`

## 证据索引

- 共索引 68 条证据。

- **NPM Skills**（documentation）：! Go Tests https://github.com/scagogogo/npm-skills/actions/workflows/go-test.yml/badge.svg https://github.com/scagogogo/npm-skills/actions/workflows/go-test.yml ! Release https://github.com/scagogogo/npm-skills/actions/workflows/release.yml/badge.svg https://github.com/scagogogo/npm-skills/releases ! Go Reference https://pkg.go.dev/badge/github.com/scagogogo/npm-skills.svg https://pkg.go.dev/github.com/scagogogo/npm-skills ! License: MIT https://img.shields.io/badge/License-MIT-yellow.svg https://opensource.org/licenses/MIT 证据：`README.md`
- **Package**（package_manifest）：{ "name": "npm-skills-website", "version": "1.0.0", "description": "NPM Skills Documentation — VitePress site", "type": "module", "scripts": { "dev": "vitepress dev", "build": "vitepress build", "preview": "vitepress preview" }, "devDependencies": { "jsdom": "^29.1.1", "mermaid": "^11.16.0", "vitepress": "^1.5.0", "vitepress-plugin-mermaid": "^2.0.17" }, "overrides": { "vite": "^6.4.3", "esbuild": "^0.25.0" }, "license": "MIT" } 证据：`website/package.json`
- **NPM Skills — NPM Registry Client**（skill_instruction）：Complete NPM Registry client — query packages, manage dist-tags, publish/unpublish, control access, audit security, and more. All CLI commands output JSON to stdout for easy parsing by AI agents. 证据：`skills/npm/SKILL.md`
- **Marketplace**（structured_config）：{ "name": "npm-skills", "description": "NPM Registry client for AI agents — query packages, manage dist-tags, publish, audit, and more. 8 mirrors, proxy, and private registry support.", "owner": { "name": "scagogogo", "url": "https://github.com/scagogogo" }, "plugins": { "name": "npm", "version": "1.0.0", "description": "NPM Registry client — query and manage packages, versions, dist-tags, downloads, access, stars, tokens, webhooks, orgs, and audit. Supports publish, unpublish, deprecate, custom registry, 8 mirrors, proxy, and auth token. 70+ SDK methods, 33 MCP tools, 26 CLI commands.", "source": "./", "author": { "name": "scagogogo", "url": "https://github.com/scagogogo" }, "keywords": "n… 证据：`.claude-plugin/marketplace.json`
- **Plugin**（structured_config）：{ "name": "npm", "version": "1.0.0", "description": "NPM Registry client — query and manage packages, versions, dist-tags, downloads, access, stars, tokens, webhooks, orgs, and audit. Supports publish, unpublish, deprecate, custom registry, 8 mirrors, proxy, and auth token.", "author": { "name": "scagogogo", "url": "https://github.com/scagogogo" }, "homepage": "https://github.com/scagogogo/npm-skills", "repository": "https://github.com/scagogogo/npm-skills", "license": "MIT", "keywords": "npm", "registry", "package", "publish", "download", "search", "audit", "mirror", "proxy", "dist-tags", "versions", "token", "webhook", "org", "team", "access", "star" } 证据：`.claude-plugin/plugin.json`
- **License**（source_file）：Copyright c 2023 Software Composition Analysis 证据：`LICENSE`
- **NPM Skills**（documentation）：! Go Tests https://github.com/scagogogo/npm-skills/actions/workflows/go-test.yml/badge.svg https://github.com/scagogogo/npm-skills/actions/workflows/go-test.yml ! Release https://github.com/scagogogo/npm-skills/actions/workflows/release.yml/badge.svg https://github.com/scagogogo/npm-skills/releases ! Go Reference https://pkg.go.dev/badge/github.com/scagogogo/npm-skills.svg https://pkg.go.dev/github.com/scagogogo/npm-skills ! License: MIT https://img.shields.io/badge/License-MIT-yellow.svg https://opensource.org/licenses/MIT 证据：`README_zh.md`
- **Build the MCP server**（source_file）：set -euo pipefail SCRIPT DIR="$ cd "$ dirname "${BASH SOURCE 0 }" " && pwd " PROJECT ROOT="$ cd "$SCRIPT DIR/.." && pwd " DEST DIR="$HOME/.local/bin" FORCE=false while $ case "$1" in --dest DEST DIR="$2" shift 2 ;; --force FORCE=true shift ;; --help -h echo "Usage: $0 --dest DIR --force " echo "" echo "Build and install the npm-skills CLI tool." echo "" echo "Options:" echo " --dest DIR Installation directory default: ~/.local/bin " echo " --force Force rebuild even if binary exists" echo "" echo "Environment Variables used at runtime, not install time :" echo " NPM REGISTRY Custom registry URL overrides --mirror " echo " NPM MIRROR Default mirror name official taobao npm-mirror ... " echo… 证据：`scripts/install.sh`
- **Verdaccio Config**（source_file）：storage: /home/cc11001100/github/scagogogo/npm-skills/scripts/verdaccio-storage max body size: 50mb web: title: npm-skills Test Registry listen: 0.0.0.0:4873 auth: htpasswd: file: /home/cc11001100/github/scagogogo/npm-skills/scripts/verdaccio-htpasswd max users: 100 uplinks: npmjs: url: https://registry.npmjs.org/ packages: ' ': access: $all publish: $authenticated unpublish: $authenticated proxy: npmjs log: { type: stdout, format: pretty, level: http } server: keepAliveTimeout: 60 证据：`scripts/verdaccio-config.yaml`
- **Main**（source_file）：package main ⋮---- import "context" "fmt" "log" "os" "os/signal" "strings" "syscall" "time" mcpserver "github.com/mark3labs/mcp-go/server" npmMcp "github.com/scagogogo/npm-skills/pkg/mcp" "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- "context" "fmt" "log" "os" "os/signal" "strings" "syscall" "time" ⋮---- mcpserver "github.com/mark3labs/mcp-go/server" ⋮---- npmMcp "github.com/scagogogo/npm-skills/pkg/mcp" "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- func main ⋮---- func buildOptions registryURL, mirror, proxy, token string registry.Options ⋮---- // mirrorNameToURL converts a mirror name to its registry URL func mirrorNameToURL name string string ⋮---- // Special aliases ⋮----… 证据：`cmd/mcp-server/main.go`
- **Cmd Dist Tags**（source_file）：package main ⋮---- import "fmt" "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- "fmt" ⋮---- "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- var distTagsAbbreviated bool ⋮---- var distTagsCmd = &cobra.Command{ Use: "dist-tags", Short: "Manage distribution tags for an NPM package", Long: color.New color.FgCyan .Sprintf "Manage distribution tags dist-tags for an NPM package" + "\n\n" + "Dist-tags are NPM's version aliases. The most common are:\n" + " • latest — latest stable release\n" + " • next — upcoming version\n" + " • beta — beta release\n\n" + "Subcommands:\n" + " get — get all dist-tags default \n" + " set — set a dist-tag requires --version and --token \n" + " delete —… 证据：`cmd/npm-skills/cmd_dist_tags.go`
- **Cmd Mirrors**（source_file）：package main ⋮---- import "fmt" "os" "github.com/fatih/color" "github.com/scagogogo/npm-skills/pkg/registry" "github.com/spf13/cobra" ⋮---- "fmt" "os" ⋮---- "github.com/fatih/color" "github.com/scagogogo/npm-skills/pkg/registry" "github.com/spf13/cobra" ⋮---- var mirrorsCmd = &cobra.Command{ Use: "mirrors", Short: "List available NPM mirror sources", Long: color.New color.FgCyan .Sprintf "List available NPM mirror sources" + "\n\n" + "Shows all supported mirror sources with their URLs and descriptions.\n" + "Use the mirror name with --mirror flag in other commands.", Aliases: string{"mirror", "ms"}, Example: npm-skills mirrors , Args: cobra.NoArgs, RunE: func cmd cobra.Command, args string… 证据：`cmd/npm-skills/cmd_mirrors.go`
- **Cmd Package**（source_file）：package main ⋮---- import "fmt" "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- "fmt" ⋮---- "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- var packageCmd = &cobra.Command{ Use: "package ", Short: "Get NPM package information", Long: color.New color.FgCyan .Sprintf "Get NPM package information" + "\n\n" + "Retrieves full package metadata including description, versions, dependencies,\n" + "maintainers, license, README content, and more.\n\n" + color.HiBlackString "Mirror: %s", mirrorNames + " via --mirror or --registry flag ", Aliases: string{"pkg"}, Example: npm-skills package react npm-skills package axios -m taobao npm-skills pkg @nestjs/core --registry https://registry.n… 证据：`cmd/npm-skills/cmd_package.go`
- **Cmd Package Summary**（source_file）：package main ⋮---- import "fmt" "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- "fmt" ⋮---- "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- var packageSummaryCmd = &cobra.Command{ Use: "package-summary ", Short: "Get lightweight NPM package metadata", Long: color.New color.FgCyan .Sprintf "Get lightweight NPM package metadata" + "\n\n" + "Returns abbreviated package information using the install-v1 Accept header.\n" + "Much smaller response than 'package' KB vs MB — ideal for scripts and quick lookups.\n" + "May lack README, maintainers, and some other fields.\n\n" + color.HiBlackString "Mirror: %s", mirrorNames + " via --mirror or --registry flag ", Aliases: string{"ps", "p… 证据：`cmd/npm-skills/cmd_package_summary.go`
- **Cmd Publish**（source_file）：package main ⋮---- import "fmt" "os" "github.com/fatih/color" "github.com/scagogogo/npm-skills/pkg/models" "github.com/spf13/cobra" ⋮---- "fmt" "os" ⋮---- "github.com/fatih/color" "github.com/scagogogo/npm-skills/pkg/models" "github.com/spf13/cobra" ⋮---- var publishName string var publishVersion string var publishDescription string ⋮---- var publishCmd = &cobra.Command{ Use: "publish ", Short: "Publish an NPM package to the registry", Long: color.New color.FgCyan .Sprintf "Publish an NPM package to the registry" + "\n\n" + "Publishes a package tarball .tgz to the configured NPM registry.\n" + "Requires authentication token.\n\n" + color.HiYellowString "Note: " + "This is a destructive oper… 证据：`cmd/npm-skills/cmd_publish.go`
- **Cmd Registry Info**（source_file）：package main ⋮---- import "fmt" "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- "fmt" ⋮---- "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- var registryInfoCmd = &cobra.Command{ Use: "registry-info", Short: "Get NPM registry status information", Long: color.New color.FgCyan .Sprintf "Get NPM registry status information" + "\n\n" + "Retrieves database name, total package count, disk size, and other registry metadata.\n\n" + color.HiBlackString "Mirror: %s", mirrorNames + " via --mirror or --registry flag ", Aliases: string{"info"}, Example: npm-skills registry-info npm-skills registry-info -m npm-mirror npm-skills registry-info --registry https://registry.npmmirror.com npm-sk… 证据：`cmd/npm-skills/cmd_registry_info.go`
- **Cmd Search**（source_file）：package main ⋮---- import "fmt" "github.com/fatih/color" "github.com/scagogogo/npm-skills/pkg/models" "github.com/scagogogo/npm-skills/pkg/registry" "github.com/spf13/cobra" ⋮---- "fmt" ⋮---- "github.com/fatih/color" "github.com/scagogogo/npm-skills/pkg/models" "github.com/scagogogo/npm-skills/pkg/registry" "github.com/spf13/cobra" ⋮---- var searchLimit int searchFrom int searchQuality float64 searchPopularity float64 searchMaintenance float64 ⋮---- var searchCmd = &cobra.Command{ Use: "search ", Short: "Search NPM packages by keyword", Long: color.New color.FgCyan .Sprintf "Search NPM packages by keyword" + "\n\n" + "Searches the NPM registry for packages matching the given query.\n" + "Re… 证据：`cmd/npm-skills/cmd_search.go`
- **Cmd Version**（source_file）：package main ⋮---- import "fmt" "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- "fmt" ⋮---- "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- var pkgVersionCmd = &cobra.Command{ Use: "pkg-version ", Short: "Get specific version information of an NPM package", Long: color.New color.FgCyan .Sprintf "Get specific version information of an NPM package" + "\n\n" + "Retrieves version-specific details including dependencies, devDependencies,\n" + "scripts, dist info tarball URL, shasum, integrity hash , and license.\n" + "Use \"latest\" as the version to get the latest version info.\n\n" + color.HiBlackString "Mirror: %s", mirrorNames + " via --mirror or --registry flag ", Aliases: s… 证据：`cmd/npm-skills/cmd_version.go`
- **Main**（source_file）：package main ⋮---- import "context" "fmt" "os" "time" "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- "context" "fmt" "os" "time" ⋮---- "github.com/fatih/color" "github.com/spf13/cobra" ⋮---- var version = "0.2.0" commit = "none" date = "unknown" builtBy = "unknown" ⋮---- func Version string ⋮---- var globalMirror string globalRegistry string globalProxy string globalToken string globalTimeout int globalNoColor bool ⋮---- var rootCmd = &cobra.Command{ Use: "npm-skills", Short: color.New color.FgCyan, color.Bold .Sprint "NPM Registry CLI Tool" , Long: fmt.Sprintf %s %s %s npm-skills flags %s npm-skills package react npm-skills search "http client" -l 10 npm-skills download-stats axio… 证据：`cmd/npm-skills/main.go`
- **Main**（source_file）：package main ⋮---- import "context" "fmt" "os" "strings" "time" "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- "context" "fmt" "os" "strings" "time" ⋮---- "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- func runTests ⋮---- func main ⋮---- func testRegistryInfo ctx context.Context error ⋮---- func testPackageInfo ctx context.Context error ⋮---- func testSearchPackages ctx context.Context error ⋮---- func testPackageVersion ctx context.Context error ⋮---- func testDownloadStats ctx context.Context error ⋮---- func testDownloadTarball ctx context.Context error ⋮---- func testTaoBaoMirror ctx context.Context error ⋮---- func testNpmMirror ctx context.Context error ⋮---- func testHuaW… 证据：`cmd/skill_verify/main.go`
- **Main**（source_file）：package main ⋮---- import "context" "fmt" "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- "context" "fmt" "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- func main 证据：`examples/create_registry/main.go`
- **Main**（source_file）：package main ⋮---- import "context" "fmt" "os" "path/filepath" "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- "context" "fmt" "os" "path/filepath" ⋮---- "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- func main 证据：`examples/download_tarball/main.go`
- **Tools Registry**（source_file）：package mcp ⋮---- import "context" mcpserver "github.com/mark3labs/mcp-go/server" "github.com/mark3labs/mcp-go/mcp" "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- "context" ⋮---- mcpserver "github.com/mark3labs/mcp-go/server" ⋮---- "github.com/mark3labs/mcp-go/mcp" "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- func registerRegistryTools client registry.Registry, cfg Config mcpserver.ServerTool ⋮---- var tools mcpserver.ServerTool 证据：`pkg/mcp/tools_registry.go`
- **Tools Version**（source_file）：package mcp ⋮---- import "context" mcpserver "github.com/mark3labs/mcp-go/server" "github.com/mark3labs/mcp-go/mcp" "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- "context" ⋮---- mcpserver "github.com/mark3labs/mcp-go/server" ⋮---- "github.com/mark3labs/mcp-go/mcp" "github.com/scagogogo/npm-skills/pkg/registry" ⋮---- func registerVersionTools client registry.Registry, cfg Config mcpserver.ServerTool ⋮---- var tools mcpserver.ServerTool 证据：`pkg/mcp/tools_version.go`
- **Package Information**（source_file）：package models ⋮---- import "encoding/json" ⋮---- "encoding/json" ⋮---- type Package struct { ID string json:" id" Rev string json:" rev" Name string json:"name" Description string json:"description" DistTags map string string json:"dist-tags" Versions map string Version json:"versions" Maintainers Maintainer json:"maintainers" Time map string string json:"time" Repository Repository json:"repository" ReadMe string json:"readme" ReadMeFilename string json:"readmeFilename" Homepage string json:"homepage" Bugs Bugs json:"bugs" License string json:"license" Users map string bool json:"users" Keywords string json:"keywords" Author Author json:"author" Contributors Contributor json:"contributors… 证据：`pkg/models/package_information.go`
- **Version**（source_file）：package models ⋮---- type Version struct { Name string json:"name" Version string json:"version" Description string json:"description" Main string json:"main" Module string json:"module" Types string json:"types" Typings string json:"typings" Type string json:"type" Exports interface{} json:"exports" ⋮---- type Directories struct { Man string json:"man" Lib string json:"lib" Bin string json:"bin" } ⋮---- type PeerDependencyMeta struct { Optional bool json:"optional" } ⋮---- func v Version IsDeprecated bool ⋮---- // DeprecatedMessage returns the deprecation message if this version is deprecated. // Returns empty string if not deprecated. func v Version DeprecatedMessage string 证据：`pkg/models/version.go`
- **Custom Registry**（source_file）：package registry ⋮---- import "context" "fmt" "net/http" "time" ⋮---- "context" "fmt" "net/http" "time" ⋮---- func NewCustomRegistry registryURL string, opts ...func Options Registry ⋮---- func x Registry RegistryHealthCheck ctx context.Context bool, error ⋮---- var cancel context.CancelFunc ⋮---- func x Registry IsPrivateRegistry bool 证据：`pkg/registry/custom_registry.go`
- **Errors**（source_file）：package registry ⋮---- import "fmt" "net/http" ⋮---- "fmt" "net/http" ⋮---- var ErrUnauthorized = NewAPIError 401, "unauthorized: authentication required or invalid token" ⋮---- type APIError struct { StatusCode int Message string } ⋮---- func NewAPIError statusCode int, message string APIError ⋮---- func e APIError Error string ⋮---- func e APIError Is target error bool ⋮---- func statusCodeToError statusCode int error 证据：`pkg/registry/errors.go`
- **Mirror**（source_file）：package registry ⋮---- const RegistryUrlYarn = "https://registry.yarnpkg.com" ⋮---- func NewYarnRegistry Registry ⋮---- const RegistryUrlCnpm = "http://r.cnpmjs.org" ⋮---- func NewCnpmRegistry Registry ⋮---- const RegistryUrlTaoBao = "https://registry.npm.taobao.org" ⋮---- func NewTaoBaoRegistry Registry ⋮---- const RegistryUrlNpmjsCom = "https://skimdb.npmjs.com" ⋮---- func NewNpmjsComRegistry Registry ⋮---- const RegistryUrlTencent = "http://mirrors.cloud.tencent.com/npm" ⋮---- func NewTencentRegistry Registry ⋮---- const RegistryUrlNpmMirror = "https://registry.npmmirror.com" ⋮---- func NewNpmMirrorRegistry Registry ⋮---- const RegistryUrlHuaWeiCloud = "https://mirrors.huaweicloud.com/re… 证据：`pkg/registry/mirror.go`
- **Options**（source_file）：package registry ⋮---- import "crypto/tls" "fmt" "net/http" "net/url" "sync" "time" ⋮---- "crypto/tls" "fmt" "net/http" "net/url" "sync" "time" ⋮---- const DefaultRegistryURL = "https://registry.npmjs.org" ⋮---- type Options struct { RegistryURL string Proxy string Token string Username string Password string DownloadStatsURL string Timeout time.Duration UserAgent string InsecureSkipVerify bool httpClient http.Client httpClientOnce sync.Once } ⋮---- func NewOptions Options ⋮---- func o Options SetRegistryURL registryURL string Options ⋮---- func o Options SetProxy proxy string Options ⋮---- func o Options SetToken token string Options ⋮---- func o Options SetBasicAuth username, password str… 证据：`pkg/registry/options.go`
- **Registry**（source_file）：package registry ⋮---- import "context" "encoding/json" "fmt" "io" "net/http" "net/url" "os" "github.com/crawler-go-go-go/go-requests" "github.com/scagogogo/npm-skills/pkg/models" ⋮---- "context" "encoding/json" "fmt" "io" "net/http" "net/url" "os" ⋮---- "github.com/crawler-go-go-go/go-requests" "github.com/scagogogo/npm-skills/pkg/models" ⋮---- type Registry struct { options Options } ⋮---- func NewRegistry options ... Options Registry ⋮---- func x Registry GetRegistryInformation ctx context.Context models.RegistryInformation, error ⋮---- func x Registry GetPackageInformation ctx context.Context, packageName string models.Package, error ⋮---- func x Registry GetPackageVersion ctx context.C… 证据：`pkg/registry/registry.go`
- **Install**（source_file）：set -euo pipefail SCRIPT DIR="$ cd "$ dirname "$0" " && pwd " PROJECT ROOT="$ cd "$SCRIPT DIR/../../.." && pwd " echo "Building npm-skills CLI from $PROJECT ROOT ..." cd "$PROJECT ROOT" go build -o "${HOME}/.local/bin/npm-skills" ./cmd/npm-skills echo "✓ npm-skills → ~/.local/bin/npm-skills" go build -o "${HOME}/.local/bin/npm-mcp-server" ./cmd/mcp-server echo "✓ npm-mcp-server → ~/.local/bin/npm-mcp-server" echo "Done! Both binaries installed to ~/.local/bin/" 证据：`skills/npm/scripts/install.sh`
- **Context**（documentation）：The user wants to perform an NPM-related operation: query package info, search, download stats, publish, manage dist-tags, audit dependencies, or interact with the NPM Registry. 证据：`commands/npm.md`
- **NPM Crawler — Complete API Reference**（documentation）：NPM Crawler — Complete API Reference 证据：`references/api.md`
- **CLI 命令手册**（documentation）：npm-skills CLI 共 26 个命令，所有命令输出 JSON 到 stdout（便于 AI 解析），状态信息走 stderr。 证据：`website/cli.md`
- **快速开始**（documentation）：bash 1. 添加 marketplace claude plugin marketplace add scagogogo/npm-skills 证据：`website/getting-started.md`
- **四种使用方式，一套核心**（documentation）：NPM Skills 把同一份 Registry 能力暴露为四种入口，按你的场景任选其一——底层共享同一个经过连接池优化的 Go 客户端： 证据：`website/index.md`
- **安装指南**（documentation）：五种安装方式按使用场景选择，不必全试——先按下面的决策图定位最适合自己的那一种： 证据：`website/installation.md`
- **MCP 服务器**（documentation）：NPM Skills 提供一个 MCP Model Context Protocol 服务器，将 NPM Registry 操作暴露为 31 个工具，供任意 MCP 兼容的 AI 客户端调用 —— Claude Code、Cursor、Windsurf 等。 证据：`website/mcp-server.md`
- **NPM Crawler — Complete API Reference**（documentation）：NPM Crawler — Complete API Reference 证据：`skills/npm/references/api.md`
- **配置选项**（documentation）：NPM Skills 提供灵活的配置选项，允许您自定义注册表 URL、代理设置等。 证据：`website/api/configuration.md`
- **API 概述**（documentation）：NPM Skills 提供了一套简洁而强大的 API，用于与 NPM Registry 进行交互。本文档涵盖了所有可用的 API 方法、参数和返回值。 证据：`website/api/index.md`
- **数据模型**（documentation）：NPM Skills 定义了完整的 Go 数据结构来表示 NPM 包的各种元数据信息。 证据：`website/api/models.md`
- **Registry 客户端**（documentation）：Registry 客户端是 NPM Skills 的核心组件，提供与 NPM 注册表交互的所有功能。 证据：`website/api/registry.md`
- **Configuration Options**（documentation）：This document describes all configuration options available for customizing the NPM Skills client behavior. 证据：`website/en/api/configuration.md`
- **API Overview**（documentation）：NPM Skills provides a simple yet powerful API for interacting with NPM Registry. This documentation covers all available API methods, parameters, and return values. 证据：`website/en/api/index.md`
- **Data Models**（documentation）：This document describes all data structures returned by the NPM Skills API. 证据：`website/en/api/models.md`
- **Registry Client API**（documentation）：The Registry client is the main interface for interacting with NPM registries. This document provides comprehensive API reference for all available methods. 证据：`website/en/api/registry.md`
- **CLI Reference**（documentation）：The npm-skills CLI has 26 commands. All output JSON to stdout easy for AI to parse ; status messages go to stderr. 证据：`website/en/cli.md`
- **Advanced Usage Examples**（documentation）：This page demonstrates advanced usage patterns and features of NPM Skills. 证据：`website/en/examples/advanced.md`
- **Basic Usage Examples**（documentation）：This page contains basic usage examples of NPM Skills to help you get started quickly. 证据：`website/en/examples/basic.md`
- **Download Tarball Examples**（documentation）：This page demonstrates how to use the DownloadTarball method to download NPM package tarballs to local files. 证据：`website/en/examples/download.md`
- **Examples**（documentation）：Practical usage patterns for the NPM Skills Go SDK. 证据：`website/en/examples/index.md`
- **Mirror Configuration**（documentation）：This guide explains how to configure and use different NPM registry mirrors to optimize network access and improve download speeds. 证据：`website/en/examples/mirrors.md`
- **Getting Started**（documentation）：Install as Claude Code Plugin in 1 minute 证据：`website/en/getting-started.md`
- **Four entry points, one core**（documentation）：NPM Skills exposes the same Registry capabilities through four entry points — pick whichever fits your scenario. They all share a single connection-pooled Go client underneath: 证据：`website/en/index.md`
- **Installation**（documentation）：Five installation methods exist — pick by use case rather than trying all. Use the decision diagram below to find the one that fits: 证据：`website/en/installation.md`
- **MCP Server**（documentation）：NPM Skills ships an MCP Model Context Protocol server that exposes NPM Registry operations as 31 tools, callable from any MCP-compatible AI client — Claude Code, Cursor, Windsurf, and more. 证据：`website/en/mcp-server.md`
- **高级用法示例**（documentation）：带 TTL 的读穿透（read-through）缓存工作机制：命中且未过期直接返回，否则回源并写回缓存。 证据：`website/examples/advanced.md`
- **基本用法示例**（documentation）：绝大多数程序化用法都遵循「创建客户端 → 带 context 调用 → 处理结果/错误」三步： 证据：`website/examples/basic.md`
- 其余 8 条证据见 `AI_CONTEXT_PACK.json` 或 `EVIDENCE_INDEX.json`。

## 宿主 AI 必须遵守的规则

- **把本资产当作开工前上下文，而不是运行环境。**：AI Context Pack 只包含证据化项目理解，不包含目标项目的可执行状态。 证据：`README.md`, `website/package.json`, `skills/npm/SKILL.md`
- **回答用户时区分可预览内容与必须安装后才能验证的内容。**：安装前体验的消费者价值来自降低误装和误判，而不是伪装成真实运行。 证据：`README.md`, `website/package.json`, `skills/npm/SKILL.md`

## 用户开工前应该回答的问题

- 你准备在哪个宿主 AI 或本地环境中使用它？
- 你只是想先体验工作流，还是准备真实安装？
- 你最在意的是安装成本、输出质量、还是和现有规则的冲突？

## 验收标准

- 所有能力声明都能回指到 evidence_refs 中的文件路径。
- AI_CONTEXT_PACK.md 没有把预览包装成真实运行。
- 用户能在 3 分钟内看懂适合谁、能做什么、如何开始和风险边界。

---

## Doramagic Context Augmentation

下面内容用于强化 Repomix/AI Context Pack 主体。Human Manual 只提供阅读骨架；踩坑日志会被转成宿主 AI 必须遵守的工作约束。

## Human Manual 骨架

使用规则：这里只是项目阅读路线和显著性信号，不是事实权威。具体事实仍必须回到 repo evidence / Claim Graph。

宿主 AI 硬性规则：
- 不得把页标题、章节顺序、摘要或 importance 当作项目事实证据。
- 解释 Human Manual 骨架时，必须明确说它只是阅读路线/显著性信号。
- 能力、安装、兼容性、运行状态和风险判断必须引用 repo evidence、source path 或 Claim Graph。

- **项目概述与四种集成方式**：importance `high`
  - source_paths: README.md, README_zh.md, skills/npm/SKILL.md, .claude-plugin/plugin.json, .claude-plugin/marketplace.json
- **Go SDK API 参考与代码示例**：importance `high`
  - source_paths: pkg/registry/registry.go, pkg/registry/options.go, pkg/registry/errors.go, pkg/registry/custom_registry.go, pkg/models/package_information.go
- **CLI 命令与 MCP Server 工具**：importance `medium`
  - source_paths: cmd/npm-skills/main.go, cmd/npm-skills/cmd_package.go, cmd/npm-skills/cmd_package_summary.go, cmd/npm-skills/cmd_search.go, cmd/npm-skills/cmd_publish.go
- **镜像源、代理、认证与部署运维**：importance `medium`
  - source_paths: pkg/registry/mirror.go, pkg/registry/options.go, cmd/npm-skills/cmd_mirrors.go, cmd/npm-skills/cmd_registry_info.go, scripts/install.sh

## Repo Inspection Evidence / 源码检查证据

- repo_clone_verified: true
- repo_inspection_verified: true
- repo_commit: `063c5e5c04f87fe216315e601296f46daf8135f6`
- inspected_files: `README.md`

宿主 AI 硬性规则：
- 没有 repo_clone_verified=true 时，不得声称已经读过源码。
- 没有 repo_inspection_verified=true 时，不得把 README/docs/package 文件判断写成事实。
- 没有 quick_start_verified=true 时，不得声称 Quick Start 已跑通。

## Doramagic Pitfall Constraints / 踩坑约束

这些规则来自 Doramagic 发现、验证或编译过程中的项目专属坑点。宿主 AI 必须把它们当作工作约束，而不是普通说明文字。

### Constraint 1: 可能修改宿主 AI 配置

- Trigger: 项目面向 Claude/Cursor/Codex/Gemini/OpenCode 等宿主，或安装命令涉及用户配置目录。
- Host AI rule: 列出会写入的配置文件、目录和卸载/回滚步骤。
- Why it matters: 安装可能改变本机 AI 工具行为，用户需要知道写入位置和回滚方法。
- Evidence: capability.host_targets | https://github.com/scagogogo/npm-skills | host_targets=mcp_host, claude_code, claude
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 2: 能力判断依赖假设

- Trigger: README/documentation is current enough for a first validation pass.
- Host AI rule: 将假设转成下游验证清单。
- Why it matters: 假设不成立时，用户拿不到承诺的能力。
- Evidence: capability.assumptions | https://github.com/scagogogo/npm-skills | README/documentation is current enough for a first validation pass.
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 3: 维护活跃度未知

- Trigger: 未记录 last_activity_observed。
- Host AI rule: 补 GitHub 最近 commit、release、issue/PR 响应信号。
- Why it matters: 新项目、停更项目和活跃项目会被混在一起，推荐信任度下降。
- Evidence: evidence.maintainer_signals | https://github.com/scagogogo/npm-skills | last_activity_observed missing
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

- Trigger: no_demo
- Evidence: downstream_validation.risk_items | https://github.com/scagogogo/npm-skills | no_demo; severity=medium
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 5: 存在安全注意事项

- Trigger: No sandbox install has been executed yet; downstream must verify before user use.
- Host AI rule: 转成明确权限清单和安全审查提示。
- Why it matters: 用户安装前需要知道权限边界和敏感操作。
- Evidence: risks.safety_notes | https://github.com/scagogogo/npm-skills | No sandbox install has been executed yet; downstream must verify before user use.
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 6: 存在评分风险

- Trigger: no_demo
- Why it matters: 风险会影响是否适合普通用户安装。
- Evidence: risks.scoring_risks | https://github.com/scagogogo/npm-skills | no_demo; severity=medium
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 7: issue/PR 响应质量未知

- Trigger: issue_or_pr_quality=unknown。
- Host AI rule: 抽样最近 issue/PR，判断是否长期无人处理。
- Why it matters: 用户无法判断遇到问题后是否有人维护。
- Evidence: evidence.maintainer_signals | https://github.com/scagogogo/npm-skills | issue_or_pr_quality=unknown
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。

### Constraint 8: 发布节奏不明确

- Trigger: release_recency=unknown。
- Host AI rule: 确认最近 release/tag 和 README 安装命令是否一致。
- Why it matters: 安装命令和文档可能落后于代码，用户踩坑概率升高。
- Evidence: evidence.maintainer_signals | https://github.com/scagogogo/npm-skills | release_recency=unknown
- Hard boundary: 不要把这个坑点包装成已解决、已验证或可忽略，除非后续验证证据明确证明它已经关闭。
