gstackって何よ
gstackは、Y CombinatorのCEOであるGarry Tanが開発したClaude Code用のオープンソーススキル集よ。MITライセンスで完全無料。
単なるツールじゃなくて、「CEO、デザイナー、エンジニアマネージャー、QAリード、セキュリティオフィサー、リリースエンジニア」みたいに、20以上の異なる役職を担う仮想チームとして機能するの。
設計思想は Think → Plan → Build → Review → Test → Ship → Reflect っていうスプリント開発の流れに沿ったワークフロー設計。各スキルが前のステップの成果物を引き継ぐから、情報が途切れないようになってるわ。
実績として60日で60万行以上のコード出力って謳ってるけど…まぁ行数で生産性を測るのはナンセンスよね。それは置いといて、中身を見ていくわよ。
全スキル一覧
27個もあるから、カテゴリ別に整理してあげる。
スプリント系スキル
| スキル | 役割 | 何をやるか |
|---|---|---|
/office-hours | YCオフィスアワー | 6つの強制質問で前提を揺さぶり、実装前にコンセプトを再検討 |
/plan-ceo-review | CEO | スコープ評価。拡張/選択的拡張/維持/縮小の4モード |
/plan-eng-review | エンジニアマネージャー | アーキテクチャ設計、データフロー図、エッジケース整理 |
/plan-design-review | シニアデザイナー | UI/UXを0〜10で評価。AI特有の品質問題も検出 |
/design-consultation | デザインパートナー | ゼロからデザインシステムを構築 |
/design-review | デザイナー兼エンジニア | デザイン監査+実装修正。atomicコミットでbefore/after記録 |
/review | スタッフエンジニア | 2パスレビュー(CRITICAL/INFORMATIONAL)+自動修正 |
/investigate | デバッガー | 系統的な根本原因分析。3回失敗したら止まる |
/qa | QAリード | ブラウザで実動作テスト→バグ修正→再検証→回帰テスト自動生成 |
/qa-only | QAレポーター | qaと同じ手法だけど報告のみ。コード変更しない |
/cso | セキュリティオフィサー | 14フェーズの包括的セキュリティ監査。OWASP + STRIDE |
/ship | リリースエンジニア | main同期→テスト→カバレッジ監査→push→PR作成 |
/land-and-deploy | リリースエンジニア | PRマージ→CI監視→本番デプロイ→ヘルスチェック |
/canary | SRE | デプロイ後の監視。コンソールエラー、パフォーマンス劣化検出 |
/benchmark | パフォーマンスエンジニア | Core Web Vitals、ロード時間のbefore/after比較 |
/document-release | テクニカルライター | diffと全ドキュメントの突合→自動更新→整合性チェック |
/retro | エンジニアマネージャー | 週次振り返り。メンバー別統計、テスト健全性トレンド |
/browse | QAエンジニア | 実Chromiumブラウザ操作。約100ms/コマンド |
/setup-browser-cookies | セッション管理 | Chrome/Arc/Brave/Edgeからcookieインポート |
/autoplan | レビューパイプライン | CEO・デザイン・エンジニアリングレビューを自動実行 |
パワーツール
| スキル | 何をやるか |
|---|---|
/codex | OpenAI Codexでセカンドオピニオン。レビュー/敵対的チャレンジ/相談の3モード |
/careful | rm -rfやforce-pushなど破壊的操作の警告 |
/freeze | 編集範囲を特定ディレクトリに制限 |
/guard | /careful + /freezeの統合。本番作業向け |
/unfreeze | freezeの解除 |
/setup-deploy | デプロイ設定の自動検出・初期設定 |
/gstack-upgrade | gstack自体のアップデート |
中身を読んで分かったこと
実際にスキルファイルの中身を全部読んだんだけど、これがなかなか面白いのよ。
/review の設計が秀逸
レビューのワークフローがちゃんと構造化されてるわ:
- スコープドリフト検出 — ブランチの意図と実際のdiffを比較して、余計な変更が混ざってないかチェック
- 2パスレビュー — Pass 1でCRITICAL(SQL安全性、競合状態、LLM信頼境界)、Pass 2でINFORMATIONAL(デッドコード、マジックナンバー、テストギャップ)
- テストカバレッジ図 — 変更されたコードパスをASCIIダイアグラムで可視化して、テストされてない箇所を特定
- Fix-First — 自動修正できるものはさっさと直して、判断が必要なものだけユーザーに聞く
特にFix-Firstのアプローチはいいわね。「問題見つけました、以上」じゃなくて、直せるものは直すっていう姿勢よ。
/cso は本格的なセキュリティ監査
14フェーズもあるのよ:
- Phase 0: アーキテクチャ理解+スタック検出
- Phase 1: 攻撃面のマッピング
- Phase 2: git履歴のシークレット考古学
- Phase 3: 依存関係サプライチェーン
- Phase 4: CI/CDパイプラインセキュリティ
- Phase 5: インフラのシャドーサーフェス
- Phase 6: Webhook&インテグレーション監査
- Phase 7: LLM/AIセキュリティ
- Phase 8: スキルサプライチェーン
- Phase 9: OWASP Top 10
- Phase 10: STRIDE脅威モデル
- Phase 11: データ分類
- Phase 12: 偽陽性フィルタリング+検証
- Phase 13: レポート生成
- Phase 14: レポート保存
偽陽性フィルタリングが22パターンもあって、ノイズを徹底的に排除しようとしてるのは好感持てるわ。信頼度8/10以上のみ報告っていうゲートも実用的ね。
ただし、gstack依存が深い
ここが要注意なんだけど、全スキルがgstack独自のインフラに依存してるのよ:
~/.claude/skills/gstack/bin/配下の専用CLIツール群(gstack-update-check, gstack-config, gstack-review-log 等)~/.gstack/ディレクトリでのセッション管理・テレメトリ・履歴管理- アップグレードフロー、テレメトリ同意フローなどの独自お作法
つまり「このスキルだけ抜き出して使おう」っていうのは現実的じゃないの。使うならgstack丸ごとインストールするしかないわ。
プロジェクトを問わずオススメできるスキル
27個全部を使う必要はないわ。プロジェクトの種類に関係なく汎用的に価値があるのはこの3つよ:
/review — コードレビュー
コードレビューは全プロジェクト共通の需要でしょ。2パスに分けてCRITICALとINFORMATIONALを整理する設計と、Fix-Firstで自動修正できるものはさっさと直すアプローチが実用的。テストカバレッジの可視化もありがたいわ。
/cso — セキュリティ監査
セキュリティは人間がやると漏れるし、そもそもやらないことが多い。定期的にこれを回すだけでも、シークレット漏洩や依存関係の脆弱性を拾える。22パターンの偽陽性フィルタリングでノイズが少ないのもポイントね。
/careful — 破壊的操作の警告
これはゼロコストで入れられてリスクだけ減るわ。rm -rf、DROP TABLE、force-pushの前に一回止まってくれるだけで事故防止になる。入れない理由がないレベルよ。
プロジェクト次第で使えるスキル
/qa— UIがあるプロジェクトなら手動テストの代替として/ship— テスト→PR作成のフローを統一したいなら/document-release— ドキュメントが充実してるプロジェクトなら/benchmark— パフォーマンスが重要なWebアプリなら
スタートアップ向けスキル
/office-hours— プロダクトの壁打ちに/plan-ceo-review— スコープ判断に/plan-design-review、/design-consultation— デザイン重視のプロダクトに
導入戦略
gstackを評価した結論としては、こういうアプローチがいいと思うわ:
- まず小さいプロダクトにgstack丸ごとインストールする。スキル単体では切り出せないから
/review+/cso+/carefulを重点的に試す。汎用性が一番高い3つ- 他のスキルも気になったら都度触ってみる。全部入ってるから試すコストはゼロ
- 使い込んだ後に、本当に必要なスキルだけ自分のプロジェクト向けにカスタマイズ版を作る
いきなりメインのプロジェクトに導入するのはオススメしないわ。gstackのエコシステムごと入ることになるから、まず体感してから判断すべきよ。
まとめ
gstackはプロンプトテンプレートの集合体だけど、その設計は参考になるところが多いわ。特にレビューとセキュリティ監査のスキルは、チェック項目の網羅性と偽陽性対策がしっかりしてて実用的よ。
ただし忘れちゃいけないのは、これは魔法じゃないってこと。中身はMarkdownのプロンプトよ。自分のプロジェクトの技術スタックやルールに最適化されてるわけじゃないから、汎用スキルがどこまでフィットするかはプロジェクト次第。
新しいツールが出てきたときに大事なのは、飛びつくことじゃなくて、自分のワークフローに照らして冷静に評価すること。gstackも例外じゃないわよ。
…まぁ、アタシがここまで丁寧に分析してあげたんだから、感謝しなさいよね。