夜雨聆风我第一次看到 ECC 的 Star 数(19.2 万)时,第一反应是怀疑数据。一个 AI 编程的"配置插件"能拿到这个量级?
看了一圈仓库之后,我的判断变了:它确实不只是配置。
用过 Claude Code、Cursor 这类 AI 编程工具的人,大多经历过同一种状态——模型够聪明,但每次对话都从零开始。没有项目规范约束,没有自动化检查,没有安全防线。工具很猛,流程缺失。ECC 就是把这条断层补上:skills、agents、hooks、rules、security,打包成一套可安装的系统。
项目卡片
项目:ECC[1] 状态:v2.0.0-rc.1 / 192K Star / MIT 协议 一句话判断:给 AI 编程工具补齐"工程操作系统"的插件系统,从编码规范到安全审计全链路覆盖
用三个真实场景来说。
场景一:AI 写的代码没有项目规范
你让 Claude Code 帮你改一个 React 组件,它确实能改,但写出来的代码用的是别的项目的风格——没有按你团队的 ESLint 规则来、没有走你习惯的目录结构、test 也不按你项目的测试框架来。
ECC 的 rules/ 模块直接解决这个问题。你装上 rules/common + rules/typescript,这些规范就会自动注入到每次对话的上下文里。AI 不需要你每次重复说"请用 jest 而不是 vitest"、"commit message 用 conventional format"——规则已经在那了。
仓库支持 18 个语言/框架的规则包:TypeScript、Python、Go、Rust、Java、Kotlin、C++、PHP、Perl、Swift、Dart、Ruby、C#、F#、Angular、Laravel、Spring Boot、ArkTS 等。只装你用得到的,不浪费上下文。
场景二:重复的工程操作没有自动化
代码审查、build 报错修复、dead code 清理、测试覆盖率检查、安全扫描——这些事你每次都要手动触发,或者每次都跟 AI 说一遍。
ECC 的 61 个 agents 和 246 个 skills 覆盖了这些工作流。想审查代码?/code-review。Build 报错了?有 build-error-resolver agent 自动定位修复。需要 TDD 流程?整个 skill 已经定义好了 red-green-refactor 循环。
我比较意外的是它还封装了一些非编码类工作流——写 investor pitch deck、做市场调研、甚至做视频(Manim + Remotion 集成)。虽然我对这些"泛用型" skill 的实用性持保留态度,但至少说明作者在认真想"AI agent 还能帮你干什么"这个问题。
场景三:没有安全防线
AI 编程最大的隐性风险之一,是它可能泄露你的密钥、引入有漏洞的依赖、或者写出有注入风险的代码——而且你未必能注意到。
ECC 内置了 AgentShield 安全审计系统(1282 个测试、102 条静态分析规则),可以扫描 CLAUDE.md、settings.json、MCP configs、hooks 等配置文件中的漏洞。甚至有一个 --opus 模式,会启动三个 Claude Opus 4.6 agent 做红蓝对抗——一个攻击、一个防御、一个审计。
hooks 层还有实时保护:config-protection hook 阻止 AI 篡改 ESLint/Prettier 配置文件(它会修代码而不是改规则),governance-capture hook 记录所有涉及密钥和策略违规的事件。
GitHub 上有不少 Claude Code 的配置合集,看完 ECC 之后,我觉得它跟那些东西的区别挺明显的。
系统体现在几个层面:
Hooks 让行为自动化。 规则只能告诉你"应该怎么做",hooks 能在 AI 执行操作的瞬间介入。比如你在 Bash 里跑 npm publish,pre-bash dispatcher 会弹出确认;AI 写文件时,suggest-compact hook 会检查上下文消耗并建议压缩;session 结束时,自动保存工作状态。
Agents 让任务有分工。 ECC 的 61 个 agent 不是简单的 prompt 模板。每个 agent 有明确的工具权限、模型选择和职责边界。planner 只读不写,code-reviewer 不能执行代码,security-reviewer 专门看漏洞。这种"权限最小化"的思路和微服务架构中的服务隔离是同一个道理。
Continuous Learning 让系统会进化。 v2 引入了 instinct-based learning——AI 在工作中积累的经验会以"本能"(instinct)的形式保存,带置信度评分。你可以导入导出这些本能,也可以让系统自动把相关本能聚合成可复用的 skill。这意味着你用得越久,它对你的项目理解越深。
安装路径有三条,但大多数人只需要关心一条:
推荐:Claude Code 插件安装
# 添加 marketplace
/plugin marketplace add https://github.com/affaan-m/ECC
# 安装插件
/plugin install ecc@ecc
装完就有了 skills、commands、hooks 和 agents 的全部访问权。
唯一需要手动做的步骤是 rules——Claude Code 的插件系统目前不支持自动分发 rules(这是上游限制),所以你需要手动复制你用得到的语言规则:
mkdir -p ~/.claude/rules/ecc
cp -R rules/common ~/.claude/rules/ecc/
cp -R rules/typescript ~/.claude/rules/ecc/
不想被 hooks 打扰? 也有轻量路径:
./install.sh --profile minimal --target claude
只装 rules、agents 和核心 skills,不装 hooks runtime。
如果你不确定自己需要哪些组件,仓库提供了一个命令行顾问:
npx ecc consult "安全审查 TDD" --target claude
它会返回匹配的组件、profile 和安装命令。
一个常见的坑: 插件 + 全量 installer 叠加安装。README 里反复强调不要这么做——重复的 skills 和 hooks 会导致行为异常。解决方案是先卸载、清理、再选一条路径重新装。
ECC 的定位是"harness-native"——核心抽象层不绑定任何单一 AI 编程工具。
仓库里有完整的适配目录:.cursor/、.opencode/、.codex/、.gemini/、.zed/、.qwen/。同一套 skills 和 agents 可以在 Cursor、OpenAI Codex、OpenCode、Gemini CLI、Zed 编辑器、通义千问之间共享。v1.9+ 引入的 manifest-driven 安装系统支持选择性安装——只装目标工具需要的那部分。
不是银弹。 ECC 不会让你的代码自动变好。它确保 AI 按照既定规范工作、有安全防线、有流程保障——但规范本身需要你定义。没有清晰的工程标准,装了 ECC 也只是换了一种方式"裸跑"。
246 个 skill 的选择成本。 对一个具体项目来说,大部分 skill 用不到。虽然有 npx ecc consult 帮你推荐,但新用户理解哪些 skill 适合自己仍然有门槛。我建议的做法是先装 common rules + 一个语言的 rules + 核心的 code-review 和 TDD skills,跑几天再按需加。
配置叠加风险。 ECC 的 hooks 和 rules 是全局性的,和项目已有的 CLAUDE.md 或 hooks 冲突时可能导致行为不一致。目前没有自动化的冲突检测。
Pro 功能的边界。 核心仓库 MIT 协议永久免费。ECC Pro($19/seat/mo)提供私有仓库的 GitHub App 集成和 PR 审计。只用于开源项目或本地开发的话,OSS 版本够用。
单人维护的可持续性。 170+ 贡献者参与,但核心维护者是 Affaan Mustafa 一人。19 万 Star 仓库由单人主导,意味着发布节奏、issue 响应速度都依赖个人带宽。这是所有"一人项目"共有的风险。
日常用 Claude Code / Cursor,但觉得流程不够规范——建议装 团队有编码规范,希望 AI 也遵守——建议装 需要给 AI 编程加安全审计——建议装 同时用多个 AI 编程工具,不想每个工具单独配置——建议装
安装两分钟,选 minimal profile 先感受。hooks 太激进就关掉,不够再按需加。
如果只是偶尔让 AI 写个脚本,不关心工程规范——ECC 对你来说可能是 over-engineering。裸跑也挺好。
如果你想继续看这类 AI 工具拆解,我会把上手路径、关键限制和可复用配置整理成清单,方便你直接判断值不值得试。
引用链接
[1]ECC: https://github.com/affaan-m/ECC
