这个页面解决什么
不要随便给 Agent 一堆 CLI。应该给它一套小而稳定的工具栈:输出可解析、安全边界清晰,并且能对应真实开发任务。
推荐起步工具栈
| 需求 | CLI | 为什么推荐 | 审批边界 | |---|---|---|---| | GitHub 状态 | GitHub CLI | PR、Issue、Release、Workflow 都能输出 JSON | merge、close、delete、edit | | 代码搜索 | ripgrep | 快速搜索仓库和日志 | 写入或删除文件 | | JSON 解析 | jq | 稳定检查和转换 JSON | 覆盖写文件 | | 数据分析 | DuckDB CLI | 对 CSV、Parquet、JSON、本地数据集执行 SQL | INSERT/UPDATE/DELETE、外部数据库写入 | | 密钥扫描 | Gitleaks | 提交前报告泄露密钥 | allowlist 修改、密钥轮换 | | 漏洞扫描 | Trivy | 依赖、容器、IaC、SBOM 报告 | 依赖升级、策略修改 | | 预览部署 | Vercel CLI / Wrangler | 预览优先部署流程 | 生产部署和环境变量修改 | | 支付测试 | Stripe CLI | 测试模式 Webhook 验证 | 真实资金操作 |
选择规则
1. 优先选择支持 JSON、SARIF、CSV 或 Markdown 输出的工具。 2. 第一步优先用只读命令。 3. 部署、删除、退款、合并、生产修改和数据库写入必须审批。 4. 把安全命令和需确认命令写进 AGENTS.md。 5. 如果远程服务需要 typed tools 和权限策略,考虑 MCP 或 API 工具。
可复制 AGENTS.md 起步模板
无需审批:
- rg 搜索
- jq 读取和投影
- 带 --json 的 gh repo/pr/issue 只读命令
- gitleaks/trivy/semgrep 报告生成
- npm test 和本地 build 检查
必须审批:
- gh pr merge、gh issue close、release delete
- vercel deploy --prod、wrangler deploy
- stripe live refund、取消订阅、更新客户
- 数据库 INSERT/UPDATE/DELETE/DROP/migration
- 依赖升级和安全忽略规则修改