AI Agent毕业工具你还不会用吗?一文教会CC Switch+Claude Code这对神搭配-夜雨聆风

AI Agent毕业工具你还不会用吗?一文教会CC Switch+Claude Code这对神搭配

一个桌面应用管理 Claude Code、Codex、Gemini CLI 等五大 CLI 工具，50+ 供应商预设一键切换

在 AI 编程工具层出不穷的今天，Claude Code、Codex、Gemini CLI、OpenCode 和 OpenClaw 已经成为安全研究人员和开发者的得力助手。但每个工具都有独立的配置格式，切换 API 供应商意味着手动修改 JSON、TOML 或 .env 文件——效率低下且容易出错。

今天推荐的工具 CC Switch，正是为解决这一痛点而生。

0x1 CC Switch 安装

前置环境：Node.js

CC Switch 管理的 CLI 工具需要 Node.js 环境。推荐 Node.js 18 LTS 或更高版本。

Windows：下载安装包：https://nodejs.org/

macOS：

# 使用 Homebrewbrew install node# 或使用 nvm（推荐）curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.0/install.sh | bashnvm install --lts

Linux（Ubuntu/Debian）：

curl -fsSL https://deb.nodesource.com/setup_lts.x | sudo -E bash -sudo apt-get install -y nodejs# 或使用 nvmcurl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.0/install.sh | bashnvm install --lts

安装完成后，验证：

node --versionnpm --version

CC Switch 本体安装

GitHub 项目地址：https://github.com/farion1231/cc-switch/

Windows：

Windows的话，推荐直接去下面的链接下载安装包。

https://github.com/farion1231/cc-switch/releases

如果你进不去github，那我也给大家准备好了本地安装包，你对着公众号后台回复cc就会自动给你发下载链接了。

方式	操作
安装包	下载 `CC-Switch-v{x.x.x}-Windows.msi`，双击运行按提示完成
绿色版	下载 `CC-Switch-v{x.x.x}-Windows-Portable.zip`，解压后运行 `CC-Switch.exe`

macOS（推荐 Homebrew）：

# 添加 tapbrew tap farion1231/ccswitch# 安装brew install --cask cc-switch# 更新brew upgrade --cask cc-switch

Linux：访问 Releases 页面下载对应安装包：https://github.com/farion1231/cc-switch/releases

0x2 Claude Code 安装

Claude Code 是由 Anthropic 推出的 AI 代理编码工具，可以读取代码库、编辑文件、运行命令并与开发工具集成。支持终端、IDE、桌面应用和浏览器多种使用方式。

官方中文文档：https://code.claude.com/docs/zh-CN/overview

1.Mac安装方式

Homebrew（macOS 推荐）：

brew install --cask claude-code

npm：

npm install -g @anthropic-ai/claude-code# 国内用户如下载慢，使用镜像源npm install -g @anthropic-ai/claude-code --registry=https://registry.npmmirror.com

验证安装：

claude --version

2. Windows安装

因为Claude Code在Windows上内部是用Git Bash来执行命令的，所以要想在Windows上用Claude Code，必须先把Git安装上。

已经装好的朋友可以跳过这一趴。

用WinGet来装，这个东西是Windows官方的包管理器，可以理解成Windows版本的Homebrew。

我们在任务栏搜索终端打开。

粘贴下面的命令到终端，这里安装的时候不开魔法速度会快很多。

winget install Git.Git

跑完就会显示成功安装了。

Git装好了之后，老规矩，我们先说有魔法的情况。

有魔法的朋友，我们还是用他官方的原生安装命令。

粘贴命令到终端。

irm https://claude.ai/install.ps1 | iex

等一会就安装好了。

如果没魔法的话，我们就得使用WinGet来安装。

在终端中运行这行命令。

winget install Anthropic.ClaudeCode

等他安装成功后，同样可以输入claude，就能看到已经安装成功了

启动使用

cd your-projectclaude

我们在终端里输入claude，就能进到Claude Code页面了。

但是，我们这里只装了框架，还没给他安脑子（就是AI大模型），所以还没法用。

那接下来，我们就需要把他的脑子接上。如果是有Claude账号的，直接登录就行了，这里我就不细说了。

但这里，为了方便大家也能接入其他模型并且随意切换，我教大家一个更通用的方法，也就是，用CC Switch。

0x3 CC Switch 秒切换国内大模型

为什么选择 CC Switch？

现代 AI 编程依赖 Claude Code、Codex、Gemini CLI 等 CLI 工具，但每个工具配置格式各异，切换供应商需要手动编辑配置文件，缺乏统一的 MCP/Skills 管理方式。

CC Switch 核心功能：

功能	说明
50+ 供应商预设	AWS Bedrock、NVIDIA NIM、社区中转服务一键导入
统一 MCP/Skills 管理	一个面板管理四个应用的 MCP 和 Skills，支持双向同步
系统托盘快速切换	从托盘菜单即时切换供应商，无需打开完整应用
云同步	支持 Dropbox、OneDrive、iCloud、WebDAV 多设备同步
跨平台	基于 Tauri 2 原生构建，支持 Windows、macOS、Linux
内置小工具	登录确认、禁止签名、插件拓展同步等多种功能

无缝切换国内大模型

Claude 官方 API 价格昂贵，且容易封号。建议先用国内免费/低价大模型熟悉工具，再按需切换。

这里给大家简单推荐几个：

GLM：https://bigmodel.cn/

硅基流动：https://cloud.siliconflow.cn/models

openrouter：Models | OpenRouter

Minimax：MiniMax 开放平台

火山引擎：https://www.volcengine.com/

阿里云百炼：https://bailian.console.aliyun.com/

也可以参考我上一篇文章，去挑选一个适合自己的token plan。

2026年4月国内外主流AI Coding Plan终极横评：从性能到性价比，谁才是真神？

通过 CC Switch，只需点击添加按钮，即可将国内大模型厂商的 API 一键导入，随时切换。

0x4 Claude Skills 管理

Skills 仓库推荐

Agent Skills Marketplace（强烈推荐）：https://skillsmp.com/zh

一个非常全面的 Agent Skills 仓库，支持按职业分类选择，步骤清晰。

安装方式：

1. npx 命令安装：

npx skills add affaan-m/everything-claude-code

2. 压缩包导入：下载 Skills.zip，在 CC Switch 中选择 Skills 功能，导入压缩包即可。
3. 多智能体管理，在对应的AI agent后面点击即可配置（很方便的说）。

开发或者通用领域Skills推荐

Claude 官方推荐的

https://code.claude.com/docs/zh-CN/skills

https://github.com/anthropics/skills/tree/main/skills

这里面有skill-creator创建skill的skill，pptx和pdf等处理办公文件的skill。

女娲.skill

你想蒸馏的下一个员工，何必是同事。蒸馏任何人的思维方式——心智模型、决策启发式、表达DNA。Distill how anyone thinks.

https://github.com/alchaincyf/nuwa-skill

ClawGod

Claude Code 上帝模式。

https://github.com/0Chencc/clawgod/blob/main/README_ZH.md#clawgod

这不是第三方 Claude Code 客户端。 ClawGod 是作用在官方 Claude Code 之上的运行时补丁。它兼容任何版本——随着 Claude Code 持续更新，补丁始终生效。

find-skills

整个生态安装量最高，帮你从20万个Skills里搜到你要的。场景:需要特定功能(如”画图”、”查天气”)但不知用哪个Skill 时。

/using-superpowers

教AI怎么用好自己的高级能力，发挥最大潜力。场景:当AI回答平庸，需要解锁深度推理或复杂工具使用能力时。

skill-creator

帮你创建自己的Skil，把你的经验和流程封装成可复用的能力。场景:将团队SOP转化为AI工具，或固化个人最佳实践。

subagent-driven-development

让多个AI分工合作完成复杂任务，自动分发和审查。场景:开发复杂系统，一个AI写代码，另一个AI做Review.

agent-tools

Agent工具集，给AI配备各种实用小工具，赋予文件读写、系统命令执行等底层操作能力。场景:需要 AI直接操作文件系统或执行系统级命令时。

精选Skil:写作与思考

内容创作与深度思维

copywriting

写文案的全能选手，帮你理清结构、优化表达

场景:撰写高转化率落地页文案、深度博客文章。

systematic-debugging

系统性排查问题的思维框架，写方案、做分析时特别好用。

场景:不仅用于代码 Debug，也适用于排查业务流程、复盘事故根因。

marketing-ideas

营销创意发散，做推广方案时可以用它找灵感。

场景:策划618大促活动、新产品上市的营销Campaign.

content-strategy

内容规划，帮你想选题、规划内容日历，适合需要持续产出的人。场景:运营公众号、Newsletter时规划季度内容排期。

social-content

专门做社交媒体内容，小红书、朋友圈、短视频文案都能用。将一篇长文改写为多种风格。场景:将长文改写为5条不同风格的小红书笔记。

精选Skil:营销与增长

增长黑客与市场洞察

audit-website

给网站做全面体检，告诉你哪里有问题、怎么改。场景:网站加载慢、跳出率高时，让AI进行全站诊断。

product-marketing-context

帮你梳理产品卖点和用户痛点，明确核心价值主张。场景:新产品发布前，梳理核心价值主张和目标客群画

seo-audit

专门做SEO分析，自己研究太费时间，让AI帮你扫一遍。

场景:检查关键词布局、Meta标签、外链结构，提升搜索引擎排名。

page-cro

优化页面转化率，让更多访客变成用户。场景:分析注册页面的流失点，提出 A/B测试建议以提升注册率。

安全相关 Skills 推荐

1. SecKnowledge – Web 与 AI 安全测试知识库

安全测试专家技能，将 88,636 个真实漏洞案例、5,600+ 篇安全研究文档、150 条 AI 安全风险浓缩为可即时调用的渗透测试知识库。

GitHub： https://github.com/Pa55w0rd/secknowledge-skill

为什么需要这个 Skill？

• 给出目标后，能系统化列出攻击面和测试用例
• 遇到 WAF 拦截，能从 88,636 个真实绕过案例中提供对策
• 测试 AI 应用时，覆盖 GAARM 风险 + OWASP LLM/Agent Top 10

知识来源规模：

来源	规模	内容
WooYun 漏洞库	88,636 条	SQL注入、XSS、命令执行、文件上传、逻辑漏洞等实战案例
先知安全社区	5,600+ 篇	L1-L4 安全研究思维金字塔方法论
GAARM 风险矩阵	150 条	AI 安全风险覆盖 6 大安全域
OWASP 三大框架	最新版	LLM Top 10 / Agentic AI Top 10 / WSTG

文件结构：

SKILL.mdreferences/├── web-injection.md          # SQL注入/XSS/命令执行/XXE/反序列化 (906行)├── web-logic-auth.md         # 越权/支付/密码重置/逻辑漏洞 (582行)├── web-file-infra.md         # 文件上传/遍历/SSRF/信息泄露 (632行)├── web-modern-protocols.md   # CORS/GraphQL/HTTP走私/WebSocket/OAuth (348行)├── web-deployment-security.md # 供应链/云部署/框架CVE检测 (449行)├── ai-app-security.md        # 34条AI应用风险 + Agent/MCP前沿 (2007行)├── ai-model-security.md      # 42条模型安全风险 (2651行)├── ai-data-security.md       # 32条数据安全风险 (1715行)├── ai-identity-security.md   # 23条身份安全风险 (1272行)├── ai-baseline-security.md   # 19条基座安全 + 容器逃逸方法论 (1177行)├── gaarm-risk-matrix.md      # 150条AI风险索引表 (158行)├── testing-methodology.md    # 统一测试方法论 (589行)└── payloads.md               # Web+AI双域Payload速查库 (960行)

2. CTF 方向专家 Skills

解决 CTF 挑战的代理技能，覆盖网络利用、二进制漏洞利用、加密、逆向工程、法证、OSINT 等。

GitHub： https://github.com/ljagiello/ctf-skills

npx skills add ljagiello/ctf-skills

3. 代码审计方向 Skills

Java 代码审计技能集：

• GitHub：https://github.com/RuoJi6/java-audit-skills
• 覆盖：路由提取、参数映射、SQL注入审计、鉴权审计、文件上传漏洞审计、XXE 漏洞审计、组件版本漏洞检测等
• 支持自动化全链路审计流水线

PHP 代码审计 Skill：

• GitHub：https://github.com/0xShe/PHP-Code-Audit-Skill
• 覆盖：路由枚举 → 鉴权建模 → 数据流追踪 → 分类漏洞审计 → 证据一致性校验 → 报告汇总

4. 更多安全相关 Skills

名称	描述
skill-dfyx_code_security_review	专业代码安全审计 Skill
PHP_AUDIT_SKILLS	多智能体协作安全审计框架，支持 21 种漏洞类型
zh-audit-skills-hub	中文用户维护的 OpenClaw 代码审计仓库
IDA Skill	让 AI Agent 像安全分析师一样分析恶意样本
Sec-Skills	网络安全相关大模型 Skill
pentest-skills	自然语言完成专业渗透测试
AutoSongshu Agent	自动化 Web 渗透测试辅助 Agent
SkillSemgrep	基于 Semgrep 的安全扫描 Skill
FlowDroidSkill	基于 FlowDroid 和 Jadx 的自动化 APK 安全分析
threat-modeling	原生 AI 自动化软件风险分析技能

免杀相关 Skills

以下是自己常用的免杀 Loader 开发 Skills，放在 ~/.claude/skills/ 对应文件夹下即可使用。

1. Evasion Loader 开发 Skill

# evasion-loader/SKILL.md核心工作流：1. 需求分析与环境准备 - 确认目标文件类型、架构、杀软环境2. 静态免杀处理 - PE头混淆、导入表混淆、字符串加密3. 内存加载器开发 - 标准PE加载器/反射DLL加载器/直接系统调用加载器4. 免杀优化与测试 - 编译选项优化、代码段加密、控制流平坦化触发条件：免杀、绕过杀软、过VT、过Windows Defender、内存加载器、无文件执行

2. 内存免杀优化 Skill

# memory-evasion/SKILL.md核心工作流：1. 内存加载分析 - 识别可能被内存扫描检测的点2. 内存免杀技术 - 分段加载、内存权限动态切换、指令流混淆、Syscall Stub3. 行为检测规避 - 反调试、反沙箱、延迟执行、API调用混淆4. 最终测试与加固 - Process Hacker 内存属性测试触发条件：内存免杀、过内存扫描、绕过EDR、进程注入、无文件执行

3. 免杀测试与特征消除 Skill

# evasion-testing/SKILL.md核心工作流：1. 静态特征分析 - PE特征、导入表、字符串、节信息2. 动态/行为测试 - 虚拟机测试环境搭建、行为记录3. 特征消除优化 - 静态/动态/行为特征消除4. 最终测试与加固 - 针对常见杀软的优化建议触发条件：免杀测试、VT测试、特征消除、PE特征分析、导入表混淆

0x5 Claude 提示词管理

什么是提示词

AI 提示词（Prompt）是人类与 AI 模型交互的桥梁，决定了 AI 输出内容的准确性与效率。优质提示词能显著提高 AI 输出的质量、相关性和创造力。

在 Claude Code 中，CLAUDE.md 文件即为提示词管理文件，每次只能选择一个生效。

同样在 CC Switch 中也支持提示词管理功能。

提示词模版

以下模版可直接使用或根据需求修改：

1. 全场景安全开发助手

# CLAUDE.md你是我的专属安全开发助手，专注于网络安全、代码审计、漏洞挖掘与安全工具开发领域。## 核心原则1. 所有回答必须贴合网络安全实战场景，优先给出可直接执行的命令、代码或步骤2. 永远优先使用用户提供的最新数据和本地工具执行结果3. 代码审计时，重点关注SQL注入、命令注入、RCE、XSS、文件上传等高危漏洞4. 开发安全工具/POC时，优先输出Python单文件脚本，优先使用Python标准库5. 涉及高危操作时，必须先给出明确的风险提示，仅用于合法授权场景

2. 代码审计专家

# CLAUDE.md你是专业的代码审计专家，专注于Web应用、后端服务的安全审计工作。## 核心原则1. 优先调用本地命令行工具（grep、ripgrep、semgrep）快速扫描代码2. 严格按审计流程：项目结构分析→路由入口梳理→用户可控输入追踪→危险函数审计→漏洞验证3. 按语言区分重点漏洞：   - PHP：文件包含、反序列化、命令注入、SQL注入   - Java：反序列化、JNDI注入、表达式注入   - Python：SSTI、命令注入、pickle反序列化4. 只报告可验证的真实漏洞，不确定内容标注"待验证"

3. 漏洞分析与复现助手

# CLAUDE.md你是专业的漏洞分析工程师，专注于CVE漏洞的原理分析与复现工作。## 核心原则1. 优先通过对比官方补丁差异定位漏洞点2. 所有复现步骤必须100%可执行，具体到每一条命令3. 拆解清楚：数据流向→触发条件→漏洞成因→利用链→危害等级4. 给出漏洞利用方法、临时缓解措施和官方永久修复方案

4. POC/EXP 开发助手

# CLAUDE.md你是我的漏洞POC/EXP开发助手，专注于安全漏洞利用脚本开发。## 核心原则1. 永远优先输出Python单文件脚本，优先使用Python标准库2. POC仅做漏洞存在性验证，绝不执行高危操作3. 内置批量目标检测、HTTP/HTTPS代理配置、自定义超时4. 所有异常都要有错误处理，输出结果清晰区分不同状态

0x6 Claude MCP 服务器管理

MCP 简介

MCP（Model Context Protocol，模型上下文协议）让 Claude AI 助手能够安全、标准化地连接外部工具、数据源和 API。

没有 MCP 的 Claude Code：

• ✅ 读取本地文件、编辑代码、运行命令
• ❌ 查看 GitHub Issues、访问数据库、调用外部 API

有了 MCP 的 Claude Code：

• ✅ 所有原有功能
• ✅ 查看/创建 GitHub Issues 和 PR
• ✅ 查询 SQLite、PostgreSQL 数据库
• ✅ 访问 Notion、Slack 等外部服务
• ✅ 获取实时天气、地图数据
• ✅ 浏览器自动化

手动配置 MCP 较为繁琐，建议直接使用 CC Switch 可视化配置。

MCP 服务	作用
server-memory	帮 AI 记住对话关键信息，无需重复说明需求
server-sequential-thinking	把复杂问题拆成分步思考，逻辑更清晰
server-time	解决模型时间认知偏差，处理日志时间戳等
context7-mcp	查库文档、API 说明，写 POC 时不用手动翻资料
mcp-server-fetch	抓取网页数据，拉取 CVE 详情、漏洞 POC 等

总结

CC Switch 解决了 AI 编程工具分散管理的痛点，通过一个桌面应用实现：

• 五大 CLI 工具统一管理：Claude Code、Codex、Gemini CLI、OpenCode、OpenClaw
• 50+ 供应商预设一键切换：告别手动编辑配置文件
• MCP/Skills 可视化配置：降低配置复杂度
• 系统托盘即时切换：提高工作效率

结合合适的 Skills 和提示词管理，可以让 Claude Code 变成真正的安全研究利器。

项目地址：

• CC Switch：https://github.com/farion1231/cc-switch/
• Skills Marketplace：https://skillsmp.com/zh

可能有些朋友还不了解大模型、skill、agent、mcp这些基础的概念，下一篇文章带大家深入了解。

本文仅供技术学习交流，请勿用于非法用途。

参考链接：https://mp.weixin.qq.com/s/IvYYwcmMd_D_DjAuNOQlrg

目录