Skulto Release Cert

• 在标记新的 skulto 版本或更新 Homebrew tap 之前，确认所有质量门控均已通过。
• 当您需要一个确定性的、可供代理逐步执行的流程，以验证 CLI 在热状态、全新状态、迁移和协调场景下的行为时。
• 当您希望将自动化安全扫描（硬编码密钥、SQL 注入、命令注入、凭据文件）与发布前的人工审查清单相结合时。
• 当为新的认证方（人工或代理）进行入门培训时，他们需要一份规范的、自包含的参考资料，以了解 skulto 的"发布就绪"标准。

• 如果你不在 skulto 项目中工作——此技能与 skulto 的代码库、CLI 命令和数据库架构紧密耦合。
• 如果你只需要快速冒烟测试；这是一次完整的认证运行，有意设计得全面且耗时。
• 如果 skulto 二进制文件尚未构建——第 1 轮必须成功，后续轮次才有意义。

认证分为三个依次进行的关卡：单元测试、代码检查与交叉编译（第一关）；全面的 CLI 操作演练（第二关）；以及安全审计（第三关）。只有三关全部通过，才会签发 Skulto Release Cert 的 CERTIFIED FOR RELEASE（已认证可发布）verdict。

第一阶段对四个目标平台进行交叉编译，生成 skulto 二进制文件——linux/amd64、linux/arm64、darwin/amd64 和 darwin/arm64——并设置 CGO_ENABLED=0。所有四个平台必须全部编译成功，方可继续后续步骤。

第二轮测试涵盖热态环境、全新生命周期、迁移、协调、过时技能清理、安全扫描流程、MCP 元数据、无表情符号输出，以及"记住安装位置"逻辑。在所有测试开始前会获取状态快照，并在全部测试完成后通过差异比对进行验证，确保 Skulto Release Cert 流程不会造成任何破坏性影响。

多个 Pass 2 子章节测试 skulto 内置安全扫描器的行为是否正确：干净的技能包静默安装，被隔离的技能包会被拦截或发出警告，并且扫描结果会在 add、pull、ingest、URL 安装、sync 和 save 流程中显示。

通过 3 次基于 grep 的扫描运行，检测硬编码密钥、SQL 字符串插值、命令注入模式以及已提交的凭据文件，并辅以人工审查清单，涵盖参数化查询、exec.Command 使用情况、os.RemoveAll 作用范围，以及通过 ldflags 注入 PostHog 密钥等方面。

完成全部三轮检查后，该技能将生成一份格式化的认证汇总表，列出每项检查的 PASS/FAIL/SKIPPED/CLEAN/FOUND 状态、版本号、日期及认证人，最终给出明确的 CERTIFIED FOR RELEASE 或 BLOCKED 结论。

AI 代理针对已构建的 skulto 二进制文件执行全部三个检查阶段，逐一处理每个编号步骤和表格行，并在无需人工干预的情况下生成最终认证摘要（明确标记为"仅限人工"的交互式终端步骤除外）。

在将 Homebrew tap 公式更新为指向新版本之前，开发人员或代理需从 skulto 仓库根目录运行此技能，以确认构建无误、所有 CLI 路径均按预期运行，且不存在安全回归问题。

在对 skulto 的安装、扫描或协调逻辑进行重大变更后，CLI 演练流程（2a–2t）会在完整命令界面上呈现回归问题，涵盖各类边缘情况，例如过期的数据库记录、被隔离的技能阻断，以及已记忆的安装位置行为。

一位新加入的团队成员或代理人，若对 Skulto 的发布标准不熟悉，可将此技能作为唯一权威参考，用于了解什么样的构建版本符合可发布条件，包括已被跟踪但不构成阻塞的预先已知问题。