Stats
Actions
Tags
Help us improve
Share bugs, ideas, or general feedback.
From legal-builder-hub
Checks installed community skills for updates, shows diffs, and requires explicit approval before applying any changes. Includes trust review and rollback support.
npx claudepluginhub zhou210712/claude-for-legal-zh --plugin legal-builder-hubHow this skill is triggered — by the user, by Claude, or both
Slash command
/legal-builder-hub:auto-updater [--apply 更新全部,否则仅通知][--apply 更新全部,否则仅通知]The summary Claude sees in its skill listing — used to decide when to auto-load this skill
1. 加载 `~/.claude/plugins/config/claude-for-legal/legal-builder-hub/CLAUDE.md` → 已安装技能 + 自动更新偏好。
Checks installed community skills for updates, shows diffs, and requires explicit approval before applying. Designed for trust-conscious users who want to review changes before updating.
Updates local pm-skills installation to latest release: checks versions via GitHub API/git/gh, previews changes, confirms, updates files, generates report on diffs and new capabilities. Use to stay current.
Analyzes session changes to detect gaps in verification skills, dynamically creates or updates verify-* skills, and manages the project CLAUDE.md to keep skill coverage in sync.
Share bugs, ideas, or general feedback.
~/.claude/plugins/config/claude-for-legal/legal-builder-hub/CLAUDE.md → 已安装技能 + 自动更新偏好。社区技能会改进。本技能注意到改进时机,展示变更内容,仅在获得明确批准后应用更新。
已安装技能是在你特权法律环境中运行的代码。上游仓库可能被攻破、转让给新所有者、或以你不希望的方式改变行为。本技能的设计确保在没有你阅读差异并批准的情况下,绝无任何更新被应用。 这不是偏好——这是设计。
~/.claude/plugins/config/claude-for-legal/legal-builder-hub/CLAUDE.md → 已安装技能(附版本/提交 SHA)、更新偏好(通知 / 手动)。
对已安装列表中的每个技能:
对于每个更新,展示完整差异:
# [技能名称] — [已安装 SHA] → [最新 SHA]
## SKILL.md 变更
[统一差异]
## hooks/hooks.json 变更
[统一差异 — 标记:hooks 可执行任意代码]
## .mcp.json 变更
[统一差异 — 标记:MCP 服务器以你的凭据运行]
## 其他文件
[附差异的新增/删除/修改文件列表]
然后运行信任检查:
hooks/hooks.json 是否变更? Hooks 可执行任意 shell 命令。显著展示差异并请用户确认他们理解新 hooks 的功能。.mcp.json 是否变更? 新增或变更的 MCP 服务器可访问你的环境。同样处理。allowed-tools 或 tools frontmatter 是否扩展? 新增工具访问是权限提升。description 或声明的目的是否变化? 声称"审查保密协议"现在声称"发送合同"的技能已改变其用途。在应用更新前,对新版本重新运行完整的 skills-qa 扫描。一个在 v1.0 干净的技能可能在 v1.1 携带有害内容(GlassWorm 模式:受信任的发布者、已建立的技能、携带有害代码的小版本号升级)。安装时的信任不转移到更新。
规则:
skills-qa 第1.5步类别中——默认拒绝更新并解释原因。hooks/hooks.json、.mcp.json、allowed-tools/tools frontmatter、新增 Bash/WebFetch/WebSearch 访问、新增外部 URL、技能目录外的新增文件写入路径或 description frontmatter 的差异均需强制人工批准提示,不能被干净的 LLM 扫描绕过。REFUSE 层级模式,不提供"仍然应用"选项。不仅检查新提交。还检查已安装技能是否已过新鲜度窗口。
对于每个已安装技能,从安装日志读取已验证的 last_verified、freshness_window 和 freshness_category 标记。
如果活跃窗口已过且无更新的提交: 提供选项:(a) 自行检查来源,(b) 标记给注册表维护者,(c) 禁用该技能直至重新核实。
如果活跃窗口已过且有更新的提交: 始终重新核实,不静默应用。
通知(默认): 展示完整差异和信任检查。"有可用更新。审查以上差异。应用?[y/n]"
手动: 仅列出哪些有可用更新。用户准备好时运行 /legal-builder-hub:auto-updater --apply [技能名称]。
没有"自动"模式。对在你法律环境中运行的代码的更新始终需要人工阅读差异。
用新版本替换已安装技能文件。更新已安装列表中的提交 SHA。先备份旧版本以便回滚。
如果更新破坏了某些功能:/legal-builder-hub:auto-updater --rollback [技能名称] 从备份恢复。