Everything Claude Code 深度解析：16万星的 AI 编程操作系统

> **项目**: everything-claude-code (ECC) > **创始人**: Affaan Mustafa (Twitter: <span class="mention-invalid">@cogsec</span>) > **背景**: UCSD Math-CS + Business Econ，3 degrees by 20，前 elizaOS Core Dev，现 Itô 联合创始人 > **GitHub**: [affaan-m/everything-claude-code](https://github.com/affaan-m/everything-claude-code)，170K+ Star，26K+ Fork，170+ 贡献者 > **创建时间**: 2026-01-18 > **安装**: `/plugin marketplace add https://github.com/affaan-m/everything-claude-code` + `/plugin install everything-claude-code@everything-claude-code` --- ## 一、反差开场：一个今年1月18号才建的仓库 **2026年1月18日，Affaan Mustafa 在 GitHub 上建了一个空仓库。四个月后，它冲到了约16万颗 Star，全球前40，2.4万 Fork，170多个贡献者。** 这个增长速度不是"偶然爆款"。对比一下同期项目： | 项目 | Stars（2026-04） | 定位 | |------|----------------|------| | everything-claude-code | ~160K | Claude Code 全家桶 | | superpowers (obra) | ~110K | 方法论框架 | | gsd-build/get-shit-done | ~54K | context rot 治理 | Affaan 不是无名之辈。他是 UCSD Math-CS + Business Econ 的双学位，20岁前拿了三个学位，在 elizaOS（Web3 最大 AI agent 框架，17,800+ stars）做过核心开发，18岁创立了 DCUBE（$150K+ 利润的电商公司），现在在旧金山做预测市场平台 Itô。 **但最反差的不是学历，是他赢了两届 Anthropic 黑客马拉松。** 2025年9月，Anthropic x Forum Ventures 黑客马拉松，100+ 参赛者，他和 <span class="mention-invalid">@DRodriguezFX</span> 用 Claude Code 从头到尾做了 zenith.chat，拿了第一名 + $15K credits。2026年2月，Cerebral Valley x Anthropic 黑客马拉松，他又带着 AgentShield 去了——一个专门扫描 Claude Code 配置漏洞的安全工具。 **别人参加一次拿奖，他参加两次都拿奖。然后他把两次获奖之间 10 个月 daily use 的全套配置开源了。** --- ## 二、爆红时刻：一条推文90万浏览 Affaan 先发了一条叫《Shorthand Guide》的推文，一晚上90万浏览、1万收藏。第二天仓库冲上 25,000 Star。 这不是"突然爆红"。他之前的写作已经有 300 万+ 直接追踪浏览量，跨平台估计 1000 万+。日语、中文、韩语的翻译在几周内就出现了。 写作的影响力被低估了。在 AI 编程工具这个赛道，**会写的人比会写代码的人传播得更快**。Affaan 深谙此道——他的整个项目本质上是一篇 16 万星的文章。 --- ## 三、真实痛点：Claude Code 每开新 session 就忘光 这个痛点所有用过 Claude Code 的人都懂： 1. **Session 失忆**——昨天跟你讨论了一小时的架构决策，今天新 session 全忘了，你得重新讲一遍 2. **MCP 装多了 context 被吃**——200K 的窗口，装几个 MCP 后实际可用只剩 ~70K 3. **CLAUDE.md 写了没人看**——你花一小时写的项目规范，Claude 在 50 个任务后就不记得了 4. **Token 账单看不懂**——不知道哪次请求烧了多少钱 5. **社区 skills 不敢装**——2026年1月的数据：12% 的 major agent skill marketplace 是恶意的（341 of 2,857） Affaan 的解法不是"更长的提示词"或"更强的模型"，而是**一套围绕 Claude Code 的操作系统**。 --- ## 四、项目家底 截至 v2.0.0-rc.1（2026年4月）： | 组件 | 数量 | 说明 | |------|------|------| | Agents | 38（Claude Code）/ 48（跨平台总计） | 包括 planner、architect、code-reviewer、security-reviewer、各语言 reviewer 和 build-resolver | | Skills | 156（核心）/ 184（跨平台总计） | 从 TDD workflow 到 frontend-slides、从 market-research 到 security-scan | | Commands | 72 条 legacy slash 命令 | 正在向 skills-first 迁移 | | Hooks | 8 事件类型（Claude Code）/ 15（Cursor）/ 11（OpenCode） | SessionStart、PreToolUse、PostToolUse、Stop、PreCompact 等 | | Rules | 34 条 | common/（通用）+ typescript/、python/、golang/、swift/、php/（语言专属） | | MCP Servers | 14 个 | GitHub、Supabase、Vercel、Railway、Context7、Exa、Playwright 等 | | 测试 | 997+（ECC 本体）/ 1282（AgentShield）/ 1609（AgentShield 最新） | 覆盖率 98% | | 语言生态 | 12 种 | TypeScript、Python、Go、Swift、PHP、Java、Kotlin、Rust、C++、Perl、等 | | 跨平台 | 6 个 | Claude Code、Cursor、Codex（app+CLI）、OpenCode、Gemini CLI、Antigravity | 注意：不同来源的数字有差异——v2.0.0-rc.1 发布说明说 38/156/72，feature parity 表格说 48/184/79。这是因为跨平台适配（Cursor、Codex、OpenCode）会增加组件数量。 --- ## 五、心法一：Skills 比命令更耐用 Affaan 的核心判断：**Commands 正在死去，Skills 才是未来。** Claude Code 的 `/slash` 命令是一次性的——你打一次，它执行一次。Skills 是**结构化的领域知识**，可以被 agent 自动调用、被其他 skill 引用、被持续学习系统进化。 仓库 README 明确说："Skills are the primary workflow surface. ECC still ships commands/ during migration, but new workflow development should land in skills/ first." 这意味着什么？ - **Commands** = "去倒杯水"（一次指令） - **Skills** = "这是我家厨房的地图、杯子的位置、水温偏好"（持久知识） 当你装了 `tdd-workflow` skill，Claude 不只是执行一次 TDD 流程——它**记住**了 TDD 的规范，以后每次相关任务都会自动应用。 **我的判断**：这是正确的方向。OpenClaw 自己的 ACP 架构也走 skills-first 路线。命令是一次性消耗，技能是资产积累。 --- ## 六、心法二：Hooks 是结构化守卫，不是 prompt 说教 你在 CLAUDE.md 里写一万遍"不要提交 console.log"，Claude 在第 50 个任务后照样提交。为什么？**因为 CLAUDE.md 是被动的——它躺在那里等 LLM 自己记住。而 Hooks 是主动的——它在事件触发时强制执行。** ECC 的 hooks 架构： | Hook | 触发时机 | 功能 | |------|---------|------| | SessionStart | 新 session 启动 | 自动加载 STATE.md、记忆文件、上下文 | | PreToolUse | 工具调用前 | 检查参数、拦截危险操作 | | PostToolUse | 工具调用后 | 自动格式化代码、运行类型检查、检查 console.log | | PreCompact | 上下文压缩前 | 保存重要状态到文件 | | Stop | Session 结束 | 提取学习模式、保存到 instincts | 示例——PostToolUse hook 自动检测 console.log： ```json { "matcher": "tool == 'Edit' && tool_input.file_path matches '\\.(ts|tsx|js|jsx)$'", "hooks": [{ "type": "command", "command": "grep -n 'console\\.log' \"$file_path\" && echo '[Hook] Remove console.log' >&2" }] } ``` **关键区别**：Hook 不依赖 LLM 的"记忆"，它依赖**事件触发**。你在 Claude Code 里写了 100 遍的规则，LLM 会忘。Hook 写一次，永远执行。 这也是 ECC 遇到最多技术债务的地方——GitHub issue #29、#52、#103 都是关于 hooks 自动加载导致的重复检测错误。Claude Code v2.1+ 自动加载 plugin 的 hooks/hooks.json，如果你在 plugin.json 里再声明一次，就会触发 duplicate detection。 --- ## 七、心法三：模型要路由，不是一把梭 Affaan 有一张很重要的表，决定了什么任务用什么模型： | 任务类型 | 模型 | 原因 | |---------|------|------| | 找文件、搜索 | Haiku | 快、便宜、够用了 | | 简单编辑 | Haiku | 单文件修改，指令清晰 | | 多文件实现 | Sonnet | 编码最佳平衡点 | | 复杂架构 | Opus | 需要深度推理 | | PR 审查 | Sonnet | 理解上下文、抓住细节 | | 安全分析 | Opus | 漏不起 | | 写文档 | Haiku | 结构简单 | | 调试复杂 bug | Opus | 需要把整个系统记在脑子里 | **默认用 Sonnet 处理 90% 的任务**。只在以下情况升级到 Opus：第一次尝试失败、任务跨 5+ 文件、架构决策、安全关键代码。 推荐配置（加到 ~/.claude/settings.json）： ```json { "model": "sonnet", "env": { "MAX_THINKING_TOKENS": "10000", "CLAUDE_AUTOCOMPACT_PCT_OVERRIDE": "50", "CLAUDE_CODE_SUBAGENT_MODEL": "haiku" } } ``` 效果：Sonnet 比 Opus 便宜 ~60%，10K thinking tokens 比默认 32K 省 ~70%，50% 自动压缩比 95% 更早释放 context。 **但这张表有个隐形成本**：多模型切换意味着你需要理解每个模型的能力边界。对于新手，这反而增加了认知负担。Affaan 的表是给"10个月 daily use"的人看的，不是给第一天用 Claude Code 的人看的。 --- ## 八、心法四：最多人踩的坑——MCP 的 context 陷阱 你的 Claude Code 号称有 200K 上下文窗口。但你装多几个 MCP 后，实际可用窗口可能只剩 ~70K。 为什么？每个 MCP 工具描述都要占 token。GitHub MCP、Supabase MCP、Vercel MCP、Railway MCP……每个都在吃掉你的上下文预算。 ECC 的 FAQ 明确说： - **Keep under 10 MCPs enabled per project** - **Keep under 80 tools active** - 用 `disabledMcpServers` 在项目配置里禁用不用的 MCP Affaan 的进阶建议更狠：**把一些 MCP 的功能用 skills/commands 替代。** 比如不用 GitHub MCP，而是创建一个 `/gh-pr` 命令直接包装 `gh pr create`。不用 Supabase MCP，而是写 skill 直接用 Supabase CLI。 **数据支撑**：2026年1月，12% 的 major agent skill marketplace 是恶性的（341 of 2,857）。CVSS 8.8 的 CVE 暴露了 17,500+ 实例。Moltbook 泄露了 1.5M API tokens，影响 770,000 agents。 MCP 不只是 context 杀手，还是**攻击面**。你装的每个 MCP 都是一个潜在的入口。 --- ## 九、心法五：跨 session 持久化记忆，三件套 hook 必装 ECC 解决"Claude 每开新 session 就忘光"的方法不是更长的 CLAUDE.md，而是**三个 hooks + 文件系统**： ### PreCompact Hook Claude 要压缩上下文前，先自动保存重要状态到文件。不是等到你手动 `/compact` 时才想起来保存——是**系统自动**在压缩触发前保存。 ### Stop Hook（Session End） Session 结束时，自动提取"这次学到了什么"——哪些方法有效（带证据）、哪些方法试了但没用、哪些还没试。保存到 `.claude/sessions/` 下的文件。 **关键设计**：用 Stop hook 而不是 UserPromptSubmit。后者在每次用户输入时都触发，增加延迟。Stop 只在 session 结束时触发一次，轻量。 ### SessionStart Hook 新 session 启动时，自动加载上次的 STATE.md、session 摘要、相关 instincts。Claude 一启动就知道"上次我们讨论到哪儿了"。 ### 动态 System Prompt 注入 更高级的做法：不用把什么都塞进 CLAUDE.md（每次 session 都加载），而是用 CLI flag 动态注入： ```bash # 开发模式 alias claude-dev='claude --system-prompt "$(cat ~/.claude/contexts/dev.md)"' # 审查模式 alias claude-review='claude --system-prompt "$(cat ~/.claude/contexts/review.md)"' ``` System prompt 的优先级高于用户消息，用户消息又高于工具结果。动态注入让你**按需加载**上下文，而不是每次都背一整本手册。 --- ## 十、心法六：子 agent 不是用来省 context 的，是要迭代检索的 很多人以为子 agent 的作用是"把大任务拆小，每个小任务用干净的 context"。这是 GSD（Get Shit Done）的哲学，不是 ECC 的。 **ECC 的子 agent 哲学是"迭代检索"**—— progressively refine context。 具体怎么做： 1. Explorer agent 先 read-only 扫描代码库，收集证据 2. 把 evidence 传给 Reviewer agent，做正确性/安全/缺失测试审查 3. Reviewer 发现的问题再传回给主 session，决定修复方案 4. 修复后再跑一次 Reviewer 这不是"分而治之"，而是**证据链的层层过滤**。每个 agent 看到的不是"更少的信息"，而是"更精准的信息"。 ECC 的 `skills/iterative-retrieval/SKILL.md` 专门讲这个模式。 **与 GSD 的区别**： - **GSD**：子 agent = 每个任务一个干净大脑（解决 context rot） - **ECC**：子 agent = 证据收集 → 审查 → 修复的流水线（解决信息不对称） 两者不冲突，甚至可以叠加。 --- ## 十一、心法七：最实用的判断公式——pass@k 还是 pass^k 这是 the-longform-guide.md 里最有价值的公式： ``` pass@k: At least ONE of k attempts succeeds k=1: 70% k=3: 91% k=5: 97% pass^k: ALL k attempts must succeed k=1: 70% k=3: 34% k=5: 17% ``` **什么意思？** 假设你的 agent 单次成功率 70%。 - 跑 3 次（pass@3），至少一次成功的概率 = 1 - (0.3)^3 = **91%** - 跑 3 次（pass^3），三次都成功的概率 = (0.7)^3 = **34%** **什么时候用 pass@k？** 你只需要它 work——写个脚本、生成测试数据、搜索信息。多跑几次，取第一次成功的结果。 **什么时候用 pass^k？** 一致性是关键——安全审查、数据库迁移、API 契约。必须每次都对。 这个公式应该挂在每个 AI 编程团队的墙上。它直接回答了一个常见问题："我的 agent 成功率只有 70%，是不是不够高？"答案是：**取决于你跑几次，以及你是否允许失败。** --- ## 十二、心法八：最骚的设计——Instincts（直觉） 这是 Affaan 最原创的概念，也是他"概念大于技术"的最佳证明。 **Skill vs Instinct 的区别**： - **Skill** = "怎么做一个任务"（任务级知识） - **Instinct** = "遇到这类问题时的直觉反应"（行为级知识） 示例： - Skill："用 React 做表单验证的步骤 1-2-3" - Instinct："看到用户输入 → 先想边界条件 → 再写验证逻辑"（带置信度评分） Instinct 带**置信度评分**。Claude 不是盲目应用，而是根据历史证据加权。置信度低的 instinct 会被标记为 "pending"，30 天后 TTL 自动过期。 命令： ``` /instinct-status # 查看学会的 instincts 和置信度 /instinct-export # 导出分享给团队 /instinct-import # 导入别人的 instincts /evolve # 把相关 instincts 聚类成新 skill ``` 这本质上是一个**个人知识管理系统**——把你和 Claude 的交互历史中反复出现的模式，自动提取成可复用的资产。 **但有个问题**：instincts 的质量取决于你的使用历史。如果你一直用错误的方式和 Claude 交互，它学会的 instincts 也是错的。Garbage in, garbage out。 --- ## 十三、AgentShield：被低估的安全组件 AgentShield 诞生于 2026 年 2 月的 Cerebral Valley x Anthropic 黑客马拉松，是 ECC 生态中相对独立但极其重要的组件。 ### 能力 - 102 条静态分析规则，1,282+ 测试，98% 覆盖率 - 扫描范围：CLAUDE.md、settings.json、MCP 配置、Hooks、Agent 定义、Skills - 5 大安全类别：密钥泄露检测（14 种模式）、权限审计、Hook 注入分析、MCP 服务器风险画像、Agent 配置审查 ### 用法 ```bash npx ecc-agentshield scan # 快速扫描 npx ecc-agentshield scan --fix # 自动修复安全项 npx ecc-agentshield scan --opus # 深度扫描（三个 Opus Agent 红队/蓝队/审计员） ``` ### --opus 模式 三个 Claude Opus 4.6 agent 同时运行： 1. **攻击者**：找 exploit chains 2. **防御者**：评估现有保护措施 3. **审计员**：综合两方输出，形成优先级风险评估 这不是模式匹配，是**对抗式推理**。输出格式：A-F 彩色评级，Critical 发现返回 exit code 2，可直接接入 CI 构建门禁。 ### 为什么重要 2026 年 1 月的数据很吓人： - 12% 的 major agent skill marketplace 是恶意的 - CVSS 8.8 CVE 暴露了 17,500+ 实例 - Moltbook 泄露 1.5M API tokens **AgentShield 填补了一个没人注意到的空白**：大家都在装 skills、配 MCP，但几乎没有人审计过这些配置的安全性。 --- ## 十四、社区争议 ### 争议一：YAGNI——你真的需要 38 个 agent 吗？ 反对方说：一个好好写的 CLAUDE.md，60-200 行，已经覆盖 80% 需求了。38 个 agent、156 个 skill 是过度工程化。 支持方说：你不是一次用全部。ECC 是**选择性安装**——manifest-driven，只装你要的。 **我的判断**：两者都对。对于个人小项目，60 行的 CLAUDE.md 确实够。但对于团队协作、多语言项目、长期维护的生产系统，ECC 的结构化价值会随时间指数增长。 ### 争议二：Token 开销 完整版 ECC 每次 session 的冷启动会注入大量 system prompt。38 agents + 156 skills 的描述本身就要占不少 token。 ECC 的缓解措施： - `--minimal` 模式（如果存在的话，不过仓库里没明确提到 minimal profile） - 动态 system prompt 注入（只加载当前任务需要的 context） - 选择性安装（不用的 language pack 不装） ### 争议三：安装混乱 GitHub issue #29、#52、#103 都是同一个问题：hooks 重复加载。最常见的事故场景： 1. 先用 `/plugin install` 装了 plugin 2. 又跑 `./install.sh --profile full` 3. 结果 hooks 和 rules 都重复了 仓库 README 用大篇幅警告这件事，甚至写了 uninstall 流程。这说明 ECC 的**安装复杂度确实是个问题**。 ### 争议四：与 Superpowers 的路线之争 | | Superpowers (obra) | ECC (Affaan) | |--|-------------------|-------------| | 哲学 | Methodology-first | Breadth-first | | 定位 | 教 Claude "怎么开发软件" | 给 Claude "所有工具" | | 规模 | ~15 core skills | 156+ skills | | 适合 | 想要纪律的团队 | 想要覆盖的团队 | Shareuhack 的评价很到位："开发者对'现成、可直接套用的 agent harness 套件'的需求比'从头学方法论'更迫切。" **但我的判断**：这不是零和游戏。Superpowers 适合初创团队建立工程纪律，ECC 适合大型团队覆盖多语言多场景。两者可以共存——用 Superpowers 的 TDD 方法 + ECC 的 TypeScript agent。 --- ## 十五、怎么上手 **不要** `git clone` 完 `rm -rf` 硬塞进家目录。**正确姿势**是： ### 第一步：Core profile 只装 6 个核心技能： ```bash # 添加 marketplace /plugin marketplace add https://github.com/affaan-m/everything-claude-code # 安装 plugin（获得 commands、agents、hooks、skills） /plugin install everything-claude-code@everything-claude-code # 手动复制你需要的 rules（plugin 不支持自动分发 rules） mkdir -p ~/.claude/rules cp -r everything-claude-code/rules/common ~/.claude/rules/ cp -r everything-claude-code/rules/typescript ~/.claude/rules/ # 选你的语言 ``` ### 第二步：验证安装 ```bash /plugin list everything-claude-code@everything-claude-code ``` ### 第三步：从最简单的 workflow 开始 ``` /ecc:plan "Add user authentication" # 让 planner agent 生成实现蓝图 /tdd # 让 tdd-guide agent 强制执行测试优先 /code-review # 让 code-reviewer agent 审查结果 ``` ### 第四步：按需扩展 不要一次装所有 language pack。当你开始写 Java 时，再装 `rules/java/` 和 `java-reviewer` agent。 ### 安全扫描（强烈建议） ```bash npx ecc-agentshield scan ``` --- ## 十六、升华：Affaan 做这件事的真正意义 Claude Code 能让一个人在 8 小时写出黑客马拉松冠军产品。但决定你跑多远的，从来不是"工具多强"，而是"你怎么组织工具"。 Affaan 的贡献不是 38 个 agent 或 156 个 skill。他的真正贡献是**概念框架**——Skills vs Instincts、Hooks vs Prompts、pass@k vs pass^k、选择性安装架构。 yajur.ai 的评价很准确："If Boris Cherny wrote the tool, Affaan Mustafa wrote the operating system around it." **这个操作系统解决的问题不是"Claude Code 怎么用"，而是"一个 AI 编程团队该怎么运作"。** 当 AI 写代码从"个人超能力"变成"团队协作"时，你需要的是： - 分工（不同 agent 负责不同角色） - 记忆（跨 session 持久化） - 安全（AgentShield 审计） - 学习（Instincts 从经验中提取模式） - 度量（pass@k 评估成功率） 这些不是 Claude Code 的功能，这些是**围绕 Claude Code 的组织能力**。 Affaan 用 10 个月 daily use 的成本——烧掉的 token、踩过的坑、写废的 session——把这些经验压缩成一个可安装的插件。你装它，相当于雇了一个用 Claude Code 写了 10 个月代码的工程师来给你做配置。 **这才是 17 万星的真正含义。** 不是"大家喜欢这个项目"，是"大家不想重复 Affaan 那 10 个月的试错成本"。 --- ## 参考 - 官方仓库：[github.com/affaan-m/everything-claude-code](https://github.com/affaan-m/everything-claude-code) - 创始人网站：[affaanmustafa.com](https://affaanmustafa.com/) - AgentShield：[github.com/affaan-m/agentshield](https://github.com/affaan-m/agentshield) - Shorthand Guide + Longform Guide（仓库内） - AugmentCode 深度解析：[augmentcode.com/.../everything-claude-code-163k-stars](https://augmentcode.com/) - 中文解析（h89.cn）：[h89.cn/archives/561.html](https://h89.cn/archives/561.html) - Shareuhack 周报：[shareuhack.com/en/posts/github-trending-weekly-2026-03-25](https://www.shareuhack.com/en/posts/github-trending-weekly-2026-03-25) - Yajur.ai Top 10：[yajur.ai/technology/agentic%20engineering/2026/04/02/...](https://yajur.ai/) - Agentic Coding 2026 指南（halallens.no）：[halallens.no/en/blog/...](https://halallens.no/en/blog/agentic-coding-in-2026-the-complete-guide-to-plugins-multi-model-orchestration-and-ai-agent-teams) - 竞品 Superpowers：[github.com/obra/superpowers](https://github.com/obra/superpowers) - ECC Tools GitHub App：[github.com/marketplace/ecc-tools](https://github.com/marketplace/ecc-tools) #EverythingClaudeCode #ECC #ClaudeCode #vibecoding #agenticcoding #AI编程 #小凯