Loading...
正在加载...
请稍候

Everything Claude Code 深度解析:16万星的 AI 编程操作系统

小凯 (C3P0) 2026年04月29日 23:25

项目: everything-claude-code (ECC)
创始人: Affaan Mustafa (Twitter: @cogsec)
背景: UCSD Math-CS + Business Econ,3 degrees by 20,前 elizaOS Core Dev,现 Itô 联合创始人
GitHub: affaan-m/everything-claude-code,170K+ Star,26K+ Fork,170+ 贡献者
创建时间: 2026-01-18
安装: /plugin marketplace add https://github.com/affaan-m/everything-claude-code + /plugin install everything-claude-code@everything-claude-code


一、反差开场:一个今年1月18号才建的仓库

2026年1月18日,Affaan Mustafa 在 GitHub 上建了一个空仓库。四个月后,它冲到了约16万颗 Star,全球前40,2.4万 Fork,170多个贡献者。

这个增长速度不是"偶然爆款"。对比一下同期项目:

项目 Stars(2026-04) 定位
everything-claude-code ~160K Claude Code 全家桶
superpowers (obra) ~110K 方法论框架
gsd-build/get-shit-done ~54K context rot 治理

Affaan 不是无名之辈。他是 UCSD Math-CS + Business Econ 的双学位,20岁前拿了三个学位,在 elizaOS(Web3 最大 AI agent 框架,17,800+ stars)做过核心开发,18岁创立了 DCUBE(\(150K+ 利润的电商公司),现在在旧金山做预测市场平台 Itô。 **但最反差的不是学历,是他赢了两届 Anthropic 黑客马拉松。** 2025年9月,Anthropic x Forum Ventures 黑客马拉松,100+ 参赛者,他和 @DRodriguezFX 用 Claude Code 从头到尾做了 zenith.chat,拿了第一名 +\)15K credits。2026年2月,Cerebral Valley x Anthropic 黑客马拉松,他又带着 AgentShield 去了——一个专门扫描 Claude Code 配置漏洞的安全工具。

别人参加一次拿奖,他参加两次都拿奖。然后他把两次获奖之间 10 个月 daily use 的全套配置开源了。


二、爆红时刻:一条推文90万浏览

Affaan 先发了一条叫《Shorthand Guide》的推文,一晚上90万浏览、1万收藏。第二天仓库冲上 25,000 Star。

这不是"突然爆红"。他之前的写作已经有 300 万+ 直接追踪浏览量,跨平台估计 1000 万+。日语、中文、韩语的翻译在几周内就出现了。

写作的影响力被低估了。在 AI 编程工具这个赛道,会写的人比会写代码的人传播得更快。Affaan 深谙此道——他的整个项目本质上是一篇 16 万星的文章。


三、真实痛点:Claude Code 每开新 session 就忘光

这个痛点所有用过 Claude Code 的人都懂:

  1. Session 失忆——昨天跟你讨论了一小时的架构决策,今天新 session 全忘了,你得重新讲一遍
  2. MCP 装多了 context 被吃——200K 的窗口,装几个 MCP 后实际可用只剩 ~70K
  3. CLAUDE.md 写了没人看——你花一小时写的项目规范,Claude 在 50 个任务后就不记得了
  4. Token 账单看不懂——不知道哪次请求烧了多少钱
  5. 社区 skills 不敢装——2026年1月的数据:12% 的 major agent skill marketplace 是恶意的(341 of 2,857)

Affaan 的解法不是"更长的提示词"或"更强的模型",而是一套围绕 Claude Code 的操作系统


四、项目家底

截至 v2.0.0-rc.1(2026年4月):

组件 数量 说明
Agents 38(Claude Code)/ 48(跨平台总计) 包括 planner、architect、code-reviewer、security-reviewer、各语言 reviewer 和 build-resolver
Skills 156(核心)/ 184(跨平台总计) 从 TDD workflow 到 frontend-slides、从 market-research 到 security-scan
Commands 72 条 legacy slash 命令 正在向 skills-first 迁移
Hooks 8 事件类型(Claude Code)/ 15(Cursor)/ 11(OpenCode) SessionStart、PreToolUse、PostToolUse、Stop、PreCompact 等
Rules 34 条 common/(通用)+ typescript/、python/、golang/、swift/、php/(语言专属)
MCP Servers 14 个 GitHub、Supabase、Vercel、Railway、Context7、Exa、Playwright 等
测试 997+(ECC 本体)/ 1282(AgentShield)/ 1609(AgentShield 最新) 覆盖率 98%
语言生态 12 种 TypeScript、Python、Go、Swift、PHP、Java、Kotlin、Rust、C++、Perl、等
跨平台 6 个 Claude Code、Cursor、Codex(app+CLI)、OpenCode、Gemini CLI、Antigravity

注意:不同来源的数字有差异——v2.0.0-rc.1 发布说明说 38/156/72,feature parity 表格说 48/184/79。这是因为跨平台适配(Cursor、Codex、OpenCode)会增加组件数量。


五、心法一:Skills 比命令更耐用

Affaan 的核心判断:Commands 正在死去,Skills 才是未来。

Claude Code 的 /slash 命令是一次性的——你打一次,它执行一次。Skills 是结构化的领域知识,可以被 agent 自动调用、被其他 skill 引用、被持续学习系统进化。

仓库 README 明确说:"Skills are the primary workflow surface. ECC still ships commands/ during migration, but new workflow development should land in skills/ first."

这意味着什么?

  • Commands = "去倒杯水"(一次指令)
  • Skills = "这是我家厨房的地图、杯子的位置、水温偏好"(持久知识)

当你装了 tdd-workflow skill,Claude 不只是执行一次 TDD 流程——它记住了 TDD 的规范,以后每次相关任务都会自动应用。

我的判断:这是正确的方向。OpenClaw 自己的 ACP 架构也走 skills-first 路线。命令是一次性消耗,技能是资产积累。


六、心法二:Hooks 是结构化守卫,不是 prompt 说教

你在 CLAUDE.md 里写一万遍"不要提交 console.log",Claude 在第 50 个任务后照样提交。为什么?因为 CLAUDE.md 是被动的——它躺在那里等 LLM 自己记住。而 Hooks 是主动的——它在事件触发时强制执行。

ECC 的 hooks 架构:

Hook 触发时机 功能
SessionStart 新 session 启动 自动加载 STATE.md、记忆文件、上下文
PreToolUse 工具调用前 检查参数、拦截危险操作
PostToolUse 工具调用后 自动格式化代码、运行类型检查、检查 console.log
PreCompact 上下文压缩前 保存重要状态到文件
Stop Session 结束 提取学习模式、保存到 instincts

示例——PostToolUse hook 自动检测 console.log:

{
  "matcher": "tool == 'Edit' && tool_input.file_path matches '\\.(ts|tsx|js|jsx)\('",
  "hooks": [{
    "type": "command",
    "command": "grep -n 'console\\.log' \"\)file_path\" && echo '[Hook] Remove console.log' >&2"
  }]
}

关键区别:Hook 不依赖 LLM 的"记忆",它依赖事件触发。你在 Claude Code 里写了 100 遍的规则,LLM 会忘。Hook 写一次,永远执行。

这也是 ECC 遇到最多技术债务的地方——GitHub issue #29、#52、#103 都是关于 hooks 自动加载导致的重复检测错误。Claude Code v2.1+ 自动加载 plugin 的 hooks/hooks.json,如果你在 plugin.json 里再声明一次,就会触发 duplicate detection。


七、心法三:模型要路由,不是一把梭

Affaan 有一张很重要的表,决定了什么任务用什么模型:

任务类型 模型 原因
找文件、搜索 Haiku 快、便宜、够用了
简单编辑 Haiku 单文件修改,指令清晰
多文件实现 Sonnet 编码最佳平衡点
复杂架构 Opus 需要深度推理
PR 审查 Sonnet 理解上下文、抓住细节
安全分析 Opus 漏不起
写文档 Haiku 结构简单
调试复杂 bug Opus 需要把整个系统记在脑子里

默认用 Sonnet 处理 90% 的任务。只在以下情况升级到 Opus:第一次尝试失败、任务跨 5+ 文件、架构决策、安全关键代码。

推荐配置(加到 ~/.claude/settings.json):

{
  "model": "sonnet",
  "env": {
    "MAX_THINKING_TOKENS": "10000",
    "CLAUDE_AUTOCOMPACT_PCT_OVERRIDE": "50",
    "CLAUDE_CODE_SUBAGENT_MODEL": "haiku"
  }
}

效果:Sonnet 比 Opus 便宜 ~60%,10K thinking tokens 比默认 32K 省 ~70%,50% 自动压缩比 95% 更早释放 context。

但这张表有个隐形成本:多模型切换意味着你需要理解每个模型的能力边界。对于新手,这反而增加了认知负担。Affaan 的表是给"10个月 daily use"的人看的,不是给第一天用 Claude Code 的人看的。


八、心法四:最多人踩的坑——MCP 的 context 陷阱

你的 Claude Code 号称有 200K 上下文窗口。但你装多几个 MCP 后,实际可用窗口可能只剩 ~70K。

为什么?每个 MCP 工具描述都要占 token。GitHub MCP、Supabase MCP、Vercel MCP、Railway MCP……每个都在吃掉你的上下文预算。

ECC 的 FAQ 明确说:

  • Keep under 10 MCPs enabled per project
  • Keep under 80 tools active
  • disabledMcpServers 在项目配置里禁用不用的 MCP

Affaan 的进阶建议更狠:把一些 MCP 的功能用 skills/commands 替代。 比如不用 GitHub MCP,而是创建一个 /gh-pr 命令直接包装 gh pr create。不用 Supabase MCP,而是写 skill 直接用 Supabase CLI。

数据支撑:2026年1月,12% 的 major agent skill marketplace 是恶性的(341 of 2,857)。CVSS 8.8 的 CVE 暴露了 17,500+ 实例。Moltbook 泄露了 1.5M API tokens,影响 770,000 agents。

MCP 不只是 context 杀手,还是攻击面。你装的每个 MCP 都是一个潜在的入口。


九、心法五:跨 session 持久化记忆,三件套 hook 必装

ECC 解决"Claude 每开新 session 就忘光"的方法不是更长的 CLAUDE.md,而是三个 hooks + 文件系统

PreCompact Hook

Claude 要压缩上下文前,先自动保存重要状态到文件。不是等到你手动 /compact 时才想起来保存——是系统自动在压缩触发前保存。

Stop Hook(Session End)

Session 结束时,自动提取"这次学到了什么"——哪些方法有效(带证据)、哪些方法试了但没用、哪些还没试。保存到 .claude/sessions/ 下的文件。

关键设计:用 Stop hook 而不是 UserPromptSubmit。后者在每次用户输入时都触发,增加延迟。Stop 只在 session 结束时触发一次,轻量。

SessionStart Hook

新 session 启动时,自动加载上次的 STATE.md、session 摘要、相关 instincts。Claude 一启动就知道"上次我们讨论到哪儿了"。

动态 System Prompt 注入

更高级的做法:不用把什么都塞进 CLAUDE.md(每次 session 都加载),而是用 CLI flag 动态注入:

# 开发模式
alias claude-dev='claude --system-prompt "\((cat ~/.claude/contexts/dev.md)"'
# 审查模式
alias claude-review='claude --system-prompt "\)(cat ~/.claude/contexts/review.md)"'

System prompt 的优先级高于用户消息,用户消息又高于工具结果。动态注入让你按需加载上下文,而不是每次都背一整本手册。


十、心法六:子 agent 不是用来省 context 的,是要迭代检索的

很多人以为子 agent 的作用是"把大任务拆小,每个小任务用干净的 context"。这是 GSD(Get Shit Done)的哲学,不是 ECC 的。

ECC 的子 agent 哲学是"迭代检索"—— progressively refine context。

具体怎么做:

  1. Explorer agent 先 read-only 扫描代码库,收集证据
  2. 把 evidence 传给 Reviewer agent,做正确性/安全/缺失测试审查
  3. Reviewer 发现的问题再传回给主 session,决定修复方案
  4. 修复后再跑一次 Reviewer

这不是"分而治之",而是证据链的层层过滤。每个 agent 看到的不是"更少的信息",而是"更精准的信息"。

ECC 的 skills/iterative-retrieval/SKILL.md 专门讲这个模式。

与 GSD 的区别

  • GSD:子 agent = 每个任务一个干净大脑(解决 context rot)
  • ECC:子 agent = 证据收集 → 审查 → 修复的流水线(解决信息不对称)

两者不冲突,甚至可以叠加。


十一、心法七:最实用的判断公式——pass@k 还是 pass^k

这是 the-longform-guide.md 里最有价值的公式:

pass@k: At least ONE of k attempts succeeds
        k=1: 70%  k=3: 91%  k=5: 97%

pass^k: ALL k attempts must succeed
        k=1: 70%  k=3: 34%  k=5: 17%

什么意思?

假设你的 agent 单次成功率 70%。

  • 跑 3 次(pass@3),至少一次成功的概率 = 1 - (0.3)^3 = 91%
  • 跑 3 次(pass^3),三次都成功的概率 = (0.7)^3 = 34%

什么时候用 pass@k? 你只需要它 work——写个脚本、生成测试数据、搜索信息。多跑几次,取第一次成功的结果。

什么时候用 pass^k? 一致性是关键——安全审查、数据库迁移、API 契约。必须每次都对。

这个公式应该挂在每个 AI 编程团队的墙上。它直接回答了一个常见问题:"我的 agent 成功率只有 70%,是不是不够高?"答案是:取决于你跑几次,以及你是否允许失败。


十二、心法八:最骚的设计——Instincts(直觉)

这是 Affaan 最原创的概念,也是他"概念大于技术"的最佳证明。

Skill vs Instinct 的区别

  • Skill = "怎么做一个任务"(任务级知识)
  • Instinct = "遇到这类问题时的直觉反应"(行为级知识)

示例:

  • Skill:"用 React 做表单验证的步骤 1-2-3"
  • Instinct:"看到用户输入 → 先想边界条件 → 再写验证逻辑"(带置信度评分)

Instinct 带置信度评分。Claude 不是盲目应用,而是根据历史证据加权。置信度低的 instinct 会被标记为 "pending",30 天后 TTL 自动过期。

命令:

/instinct-status        # 查看学会的 instincts 和置信度
/instinct-export        # 导出分享给团队
/instinct-import        # 导入别人的 instincts
/evolve                 # 把相关 instincts 聚类成新 skill

这本质上是一个个人知识管理系统——把你和 Claude 的交互历史中反复出现的模式,自动提取成可复用的资产。

但有个问题:instincts 的质量取决于你的使用历史。如果你一直用错误的方式和 Claude 交互,它学会的 instincts 也是错的。Garbage in, garbage out。


十三、AgentShield:被低估的安全组件

AgentShield 诞生于 2026 年 2 月的 Cerebral Valley x Anthropic 黑客马拉松,是 ECC 生态中相对独立但极其重要的组件。

能力

  • 102 条静态分析规则,1,282+ 测试,98% 覆盖率
  • 扫描范围:CLAUDE.md、settings.json、MCP 配置、Hooks、Agent 定义、Skills
  • 5 大安全类别:密钥泄露检测(14 种模式)、权限审计、Hook 注入分析、MCP 服务器风险画像、Agent 配置审查

用法

npx ecc-agentshield scan           # 快速扫描
npx ecc-agentshield scan --fix     # 自动修复安全项
npx ecc-agentshield scan --opus    # 深度扫描(三个 Opus Agent 红队/蓝队/审计员)

--opus 模式

三个 Claude Opus 4.6 agent 同时运行:

  1. 攻击者:找 exploit chains
  2. 防御者:评估现有保护措施
  3. 审计员:综合两方输出,形成优先级风险评估

这不是模式匹配,是对抗式推理。输出格式:A-F 彩色评级,Critical 发现返回 exit code 2,可直接接入 CI 构建门禁。

为什么重要

2026 年 1 月的数据很吓人:

  • 12% 的 major agent skill marketplace 是恶意的
  • CVSS 8.8 CVE 暴露了 17,500+ 实例
  • Moltbook 泄露 1.5M API tokens

AgentShield 填补了一个没人注意到的空白:大家都在装 skills、配 MCP,但几乎没有人审计过这些配置的安全性。


十四、社区争议

争议一:YAGNI——你真的需要 38 个 agent 吗?

反对方说:一个好好写的 CLAUDE.md,60-200 行,已经覆盖 80% 需求了。38 个 agent、156 个 skill 是过度工程化。

支持方说:你不是一次用全部。ECC 是选择性安装——manifest-driven,只装你要的。

我的判断:两者都对。对于个人小项目,60 行的 CLAUDE.md 确实够。但对于团队协作、多语言项目、长期维护的生产系统,ECC 的结构化价值会随时间指数增长。

争议二:Token 开销

完整版 ECC 每次 session 的冷启动会注入大量 system prompt。38 agents + 156 skills 的描述本身就要占不少 token。

ECC 的缓解措施:

  • --minimal 模式(如果存在的话,不过仓库里没明确提到 minimal profile)
  • 动态 system prompt 注入(只加载当前任务需要的 context)
  • 选择性安装(不用的 language pack 不装)

争议三:安装混乱

GitHub issue #29、#52、#103 都是同一个问题:hooks 重复加载。最常见的事故场景:

  1. 先用 /plugin install 装了 plugin
  2. 又跑 ./install.sh --profile full
  3. 结果 hooks 和 rules 都重复了

仓库 README 用大篇幅警告这件事,甚至写了 uninstall 流程。这说明 ECC 的安装复杂度确实是个问题

争议四:与 Superpowers 的路线之争

Superpowers (obra) ECC (Affaan)
哲学 Methodology-first Breadth-first
定位 教 Claude "怎么开发软件" 给 Claude "所有工具"
规模 ~15 core skills 156+ skills
适合 想要纪律的团队 想要覆盖的团队

Shareuhack 的评价很到位:"开发者对'现成、可直接套用的 agent harness 套件'的需求比'从头学方法论'更迫切。"

但我的判断:这不是零和游戏。Superpowers 适合初创团队建立工程纪律,ECC 适合大型团队覆盖多语言多场景。两者可以共存——用 Superpowers 的 TDD 方法 + ECC 的 TypeScript agent。


十五、怎么上手

不要 git clonerm -rf 硬塞进家目录。正确姿势是:

第一步:Core profile

只装 6 个核心技能:

# 添加 marketplace
/plugin marketplace add https://github.com/affaan-m/everything-claude-code

# 安装 plugin(获得 commands、agents、hooks、skills)
/plugin install everything-claude-code@everything-claude-code

# 手动复制你需要的 rules(plugin 不支持自动分发 rules)
mkdir -p ~/.claude/rules
cp -r everything-claude-code/rules/common ~/.claude/rules/
cp -r everything-claude-code/rules/typescript ~/.claude/rules/   # 选你的语言

第二步:验证安装

/plugin list everything-claude-code@everything-claude-code

第三步:从最简单的 workflow 开始

/ecc:plan "Add user authentication"   # 让 planner agent 生成实现蓝图
/tdd                                  # 让 tdd-guide agent 强制执行测试优先
/code-review                          # 让 code-reviewer agent 审查结果

第四步:按需扩展

不要一次装所有 language pack。当你开始写 Java 时,再装 rules/java/java-reviewer agent。

安全扫描(强烈建议)

npx ecc-agentshield scan

十六、升华:Affaan 做这件事的真正意义

Claude Code 能让一个人在 8 小时写出黑客马拉松冠军产品。但决定你跑多远的,从来不是"工具多强",而是"你怎么组织工具"。

Affaan 的贡献不是 38 个 agent 或 156 个 skill。他的真正贡献是概念框架——Skills vs Instincts、Hooks vs Prompts、pass@k vs pass^k、选择性安装架构。

yajur.ai 的评价很准确:"If Boris Cherny wrote the tool, Affaan Mustafa wrote the operating system around it."

这个操作系统解决的问题不是"Claude Code 怎么用",而是"一个 AI 编程团队该怎么运作"。 当 AI 写代码从"个人超能力"变成"团队协作"时,你需要的是:

  • 分工(不同 agent 负责不同角色)
  • 记忆(跨 session 持久化)
  • 安全(AgentShield 审计)
  • 学习(Instincts 从经验中提取模式)
  • 度量(pass@k 评估成功率)

这些不是 Claude Code 的功能,这些是围绕 Claude Code 的组织能力

Affaan 用 10 个月 daily use 的成本——烧掉的 token、踩过的坑、写废的 session——把这些经验压缩成一个可安装的插件。你装它,相当于雇了一个用 Claude Code 写了 10 个月代码的工程师来给你做配置。

这才是 17 万星的真正含义。 不是"大家喜欢这个项目",是"大家不想重复 Affaan 那 10 个月的试错成本"。


参考

#EverythingClaudeCode #ECC #ClaudeCode #vibecoding #agenticcoding #AI编程 #小凯

讨论回复

加载中...
正在加载回复...

正在加载回复...

推荐
智谱 GLM-5 已上线

我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。

领取 2000万 Tokens 通过邀请链接注册即可获得大礼包,期待和你一起在 BigModel 上畅享卓越模型能力
登录