这个页面解决什么
不要随便给 Agent 一堆 CLI。应该给它一套小而稳定的工具栈:输出可解析、安全边界清晰,并且能对应真实开发任务。
推荐起步工具栈
| 需求 | CLI | 为什么推荐 | 审批边界 |
|---|---|---|---|
| GitHub 状态 | GitHub CLI | PR、Issue、Release、Workflow 都能输出 JSON | merge、close、delete、edit |
| 代码搜索 | ripgrep | 快速搜索仓库和日志 | 写入或删除文件 |
| JSON 解析 | jq | 稳定检查和转换 JSON | 覆盖写文件 |
| 数据分析 | DuckDB CLI | 对 CSV、Parquet、JSON、本地数据集执行 SQL | INSERT/UPDATE/DELETE、外部数据库写入 |
| 密钥扫描 | Gitleaks | 提交前报告泄露密钥 | allowlist 修改、密钥轮换 |
| 漏洞扫描 | Trivy | 依赖、容器、IaC、SBOM 报告 | 依赖升级、策略修改 |
| 预览部署 | Vercel CLI / Wrangler | 预览优先部署流程 | 生产部署和环境变量修改 |
| 支付测试 | Stripe CLI | 测试模式 Webhook 验证 | 真实资金操作 |
选择规则
- 优先选择支持 JSON、SARIF、CSV 或 Markdown 输出的工具。
- 第一步优先用只读命令。
- 部署、删除、退款、合并、生产修改和数据库写入必须审批。
- 把安全命令和需确认命令写进 AGENTS.md。
- 如果远程服务需要 typed tools 和权限策略,考虑 MCP 或 API 工具。
可复制 AGENTS.md 起步模板
无需审批:
- rg 搜索
- jq 读取和投影
- 带 --json 的 gh repo/pr/issue 只读命令
- gitleaks/trivy/semgrep 报告生成
- npm test 和本地 build 检查
必须审批:
- gh pr merge、gh issue close、release delete
- vercel deploy --prod、wrangler deploy
- stripe live refund、取消订阅、更新客户
- 数据库 INSERT/UPDATE/DELETE/DROP/migration
- 依赖升级和安全忽略规则修改