Ты не знаешь, чего ты не знаешь Вчера проверял свой проект Доктором. Знаешь что нашёл? .env с правами 644. Это значит любой процесс на машине мог прочитать мои API-ключи от OpenAI. Любой. Не взлом, не хакер - просто дефолтные права при создании файла. Я бы мог ещё полгода кодить и не узнать. И это далеко не самый худший сценарий. Вот что бывает, когда не проверяешь. Секреты в git history. Ты создал .env, закоммитил, потом добавил в .gitignore. Всё, проблема решена? Нет. Файл навсегда в истории. Любой с доступом к репо попросит LLM изучить проект и увидит твои ключи. GitHub-боты сканируют публичные репозитории автоматически. Утечка ключа AWS = чужие виртуалки на твоём аккаунте = счёт в тысячи долларов за ночь. AI API без лимитов. Claude, GPT, любой API - если не настроил billing alerts и не указал max_tokens, один зависший скрипт с бесконечным циклом может прожечь бюджет. Даже был пост на Reddit: парень проснулся с инвойсом на $2400 от OpenAI, т.к его скрипт крутился всю ночь... Нет pre-commit хуков? Claude сгенерил код с console.log(apiKey). Ты не заметил, закоммитил, запушил. В проде. С ключом. Знакомо? Может не именно это, но ощущение «а вдруг я что-то пропустил» - оно у всех. Вайб кодинг - это конечно хорошо. Описал задачу, Claude сгенерил, работает. Но когда ты не писал код руками - ты не знаешь, что именно он натворил. А спросить некого. Нет тимлида, который скажет «у тебя .env торчит наружу». Нет девопса, который настроит хуки. И я постарался эту дыру закрыть и собрал инструмент, который выясняет всё за тебя. Doctor - скилл для Claude Code. Набор .md файлов. Ноль зависимостей. Никакого кода, плагинов, API-ключей и установка за 5 секунд. И да, хоть Doctor и работает только для Claude проектов, если у тебя другая основа - просто попроси адаптировать под твою LLM. Попроси свою LLM проанализировать SKILL и установить. Можешь написать /doctor - получаешь полный аудит. А можешь попросить LLM и он сам всё сделает. 46 проверок по 6 слоям и порядок - не случайный: 1. Безопасность 2. Фундамент 3. Качество 4. Интеллект агентов 5. Контекст 6. DX Что же конкретно проверяет доктор? А вот примеры по слоям: • Слой 0 - Безопасность. Секреты в git, хардкод ключей в коде, права на .env, SAST-анализ, уязвимости в зависимостях, Docker-безопасность, клиентские ключи в NEXT_PUBLIC_ / VITE_, защита от перерасхода AI API. • Слой 1 - Фундамент. Есть ли CLAUDE.md? Рабочий README? Зависимости свежие? Структура проекта понятная или 2000-строчный файл-монстр? • Слой 2 - Качество. Линтер, форматтер, pre-commit хуки, CI, типизация, coverage порог, PostToolUse хук, чтобы Claude автоматически проверял синтаксис после каждого редактирования. • Слои 3-5 - для Claude Code. Агенты: code-reviewer, debugger, architect, доменные правила с paths:, MCP-серверы, память между сессиями, скиллы /test и /status. И ничего страшного, если половину слов ты видишь впервые. Просто попроси любую LLM на понятном и доступном для тебя языке и примерах объяснить - что это и зачем. Каждая находка - это далеко не абстрактное "А давай ты улучшить безопасность?". Нашёл секреты в git history? Doctor выдаёт 9-шаговый incident response: ротация ключей => git filter-repo => force push => аудит логов => настройка gitleaks => GitHub secret scanning. Адаптивный скоринг - штука, которая очень гибко и качественно поможет оценить. Doctor сам определяет зрелость проекта и подстраивается: • 🌱 Starter - 18 чеков. Нет git или тестов? Ок, проверим только критичное. Не прилетит за отсутствие SAST. • 🌿 Growing - 27 чеков. Есть git, зависимости, линтер? Добавляем quality gates. • 🌳 Mature - 34 чека. Тесты, CI, окружения? Полный набор. • ⚡ Pro - все 46. Включая Claude Code-специфичные: агенты, MCP, доменные правила, память. Попробуй Doctor на своём проекте. Результат может удивить тебя - меня удивил. ——- Если было полезно, дай знать, буду признателен. Можешь скинуть коллеге, который вайб кодит без оглядки, думаю ему пригодится. Пиши в комментарии: что са