ops-hygiene

Ops Hygiene 是一套专为 AI Agent 设计的标准化运维维护程序，通过分层的维护机制确保代理环境的健康、安全与有序。该技能提供了从实时输入过滤到月度安全审计的完整维护体系，类似于为数字代理建立的"个人卫生习惯"。

核心用法围绕多时间维度的维护周期展开：在每次外部交互时通过 prompt-guard 过滤不可信输入；每次会话启动时加载记忆文件并检查密钥泄露；每30分钟执行一次"心跳"检查，包括邮件分类、Git状态监控、内存整理和资源检查；每日生成日志并扫描密钥；每周更新攻击模式数据库并检查依赖；每月执行全面安全审计和权限审查。配套的脚本工具（secret-scan.sh、security-audit.sh、heartbeat-dispatch.sh）实现了本地化的自动化检查，其中心跳调度器采用分层设计，优先使用本地LLM（The Reef API）进行邮件分类，仅在必要时才调用云端资源，有效控制成本。

显著优点体现在其系统化的安全思维和成本优化策略。技能内置了"三明治防御"等输入处理机制，提供从实时防护到定期审计的纵深防御体系。所有检查脚本均采用 set -euo pipefail 严格模式，确保执行可靠性。特别值得一提的是其智能的本地优先架构：heartbeat-dispatch.sh 能够利用本地 Ollama 和 Reef API 处理大部分任务，显著降低 token 消耗；同时支持安静时段（23:00-07:00）配置，避免夜间打扰。

潜在局限主要源于其 T3 级社区来源属性，虽代码质量达到 A 级标准，但在企业级合规场景中可能缺乏官方背书。此外，技能配置相对复杂，需要用户正确设置 .secrets 文件权限（建议 600）、维护 hygiene-state.json 状态跟踪，并确保本地 Python 和 Bash 环境完备。对于非技术用户，多层次的维护周期可能带来较高的学习成本。

适合目标群体包括长期自主运行的 AI Agent 系统、对数据隐私要求极高的个人开发者、以及需要定期安全审计的小型开发团队。特别适合那些采用"本地优先"架构、希望减少云端依赖同时保持系统健康的场景。

使用风险方面，尽管代码本身通过所有安全扫描，但用户需确保敏感文件权限配置正确，避免密钥文件被其他进程读取。脚本依赖本地服务（如 localhost:11434 的 Ollama），若服务未启动可能导致检查失败。此外，自动化维护虽便利，但过度依赖可能掩盖系统性问题，建议定期人工审查审计日志而非完全自动化处理。