一個人寫一萬行生產級程式碼,聽起來像在吹牛。但 Y Combinator CEO Garry Tan 把他的工作流打包成開源工具,名字叫 gstack,MIT 授權,30 秒裝完。

它到底是什麼

gstack 把 Claude Code 變成一支虛擬工程團隊。不是那種「幫你補全一行 code」的等級——是從構想、規劃、實作、Code Review、QA、安全審計、部署到監控,整條 Sprint 流程都有對應的 Skill 角色。

技術棧是 TypeScript + Bun + Playwright。核心是一個持久化的 Chromium daemon,首次啟動約三秒,之後每個指令 100-200ms。不是每次冷開瀏覽器那種等到天荒地老的體驗。

GitHub 在這:github.com/garrytan/gstack

安裝:真的 30 秒

1
2
git clone --single-branch --depth 1 https://github.com/garrytan/gstack.git ~/.claude/skills/gstack
cd ~/.claude/skills/gstack && ./setup

跑完之後在專案的 CLAUDE.md 加一段宣告就能用。團隊要共用的話,把整個資料夾複製到專案的 .claude/skills/gstack 底下。

Cursor、OpenAI Codex 也支援:

1
2
3
./setup --host cursor   # Cursor
./setup --host codex    # OpenAI Codex
./setup --host auto     # 自動偵測

Sprint 工作流:每個 Skill 都是一個角色

這是整套流程最有趣的設計——每個指令背後對應一個專業角色:

階段 指令 扮演角色 幹嘛的
構想 /office-hours YC 導師 六個逼問式問題 + 三種實作方案
審視 /plan-ceo-review CEO 重新思考範圍,該砍就砍
架構 /plan-eng-review 工程經理 鎖定架構、ASCII 圖表、邊界案例
設計 /plan-design-review 資深設計師 UI/UX 完整度審計
審查 /review Staff Engineer PR Review,自動修明顯 bug
QA /qa QA Lead 真實瀏覽器測試 + 回歸測試
安全 /cso 資安長 OWASP Top 10 + STRIDE 審計
出貨 /ship Release Engineer 同步 main → 測試 → 推 PR
部署 /land-and-deploy Release Engineer 合併 → CI → 部署 → 健康檢查
監控 /canary SRE 部署後監控 console 錯誤

一個完整的工作流跑起來大概這樣:

1
2
3
4
5
6
7
8
9
10
/office-hours          # 釐清定位
/plan-ceo-review       # CEO 視角砍需求
/plan-eng-review       # 鎖架構
# Claude 寫程式碼
/review                # Code Review
/cso                   # 安全審計
/qa https://staging    # 瀏覽器 QA
/ship                  # 推 PR
/land-and-deploy       # 部署
/canary                # 監控

從想法到上線,一個人搞定。

/browse:內建的瀏覽器指令系統

gstack 不是只會跑 terminal 指令。它內建了一整套瀏覽器操作系統,50 幾個指令,用 $B 前綴呼叫。$B 是 shell 變數,指向 gstack 編譯好的 browse 執行檔路徑(約 58MB 的 Bun 單檔 binary),可以把它想成「Browser CLI」的縮寫:

1
2
3
4
5
6
7
8
$B goto https://staging.example.com   # 開網頁
$B screenshot                          # 截圖
$B snapshot -i -a                      # 標記互動元素的無障礙樹
$B click @e3                           # 點擊元素
$B fill @e3 "test@example.com"         # 填表
$B console                             # 看 JS 錯誤
$B responsive                          # 三螢幕響應式測試
$B diff url1 url2                      # 比較兩個頁面

ref 系統用的是無障礙樹的 @e1@e2,不是 CSS selector。這代表不會被 CSP 擋,也不會因為 class name 改了就壞掉。

Boil the Lake 哲學

Garry Tan 的核心理念叫「煮沸整個湖」:AI 讓完整實作的邊際成本趨近零,所以永遠選完整方案。

他給了一組壓縮比數據:

任務 人類團隊 AI 輔助 壓縮比
Boilerplate 2 天 15 分鐘 ~100x
測試撰寫 1 天 15 分鐘 ~50x
功能實作 1 週 30 分鐘 ~30x
Bug 修復 4 小時 15 分鐘 ~20x
架構設計 2 天 4 小時 ~5x

數字可以打折看,但方向很明確:重複性越高的工作,AI 壓縮比越大。架構設計這種需要判斷力的,壓縮比最低。

搭配第二原則「Search Before Building」——先搜尋有沒有人解過,再決定要不要從零開始。最糟的結果是完整實作了一個已經有的一行解。

安全模型

HTTP server 只綁 localhost。每個 session 用隨機 UUID 做 Bearer token,檔案權限設為 0o600(Unix 八進位表示法,等同 chmod 600,意思是只有檔案擁有者可以讀寫,其他人完全不能碰)。Cookie 用 PBKDF2 + AES 加密,只在記憶體裡解密。Console 和 network 日誌裡不會出現 cookie 值。

/cso 安全審計涵蓋 OWASP Top 10 和 STRIDE 威脅建模,內建 17 個誤報過濾器。這不是隨便跑一下 linter 就算了的程度。

測試架構:三層式

層級 指令 成本 時間
靜態驗證 bun test 免費 < 5 秒
E2E 整合 EVALS=1 bun run test:e2e ~$3.85 ~20 分鐘
LLM 評審 EVALS=1 bun run test:evals ~$0.15 ~30 秒

哲學是「免費捕捉 95% 問題,LLM 只用於判斷性決策」。靜態驗證不花錢、不花時間,先把能抓的都抓完,再用 E2E 和 LLM 處理需要判斷的部分。

要注意的限制

Cookie 解密目前只支援 macOS。編譯出來的 binary 是 arm64 Mach-O,不能跨平台。Windows 要額外裝 Node.js 因為 Bun 的 Playwright pipe transport 有 bug。

沒有 WebSocket 串流、沒有 MCP 協定支援、沒有多使用者。並行 Sprint 上限大約 10-15 個。

不過對獨立開發者或小團隊來說,這些限制大部分碰不到。

適合誰用

獨立開發者想快速出貨、上線前需要完整品質把關、接手陌生 codebase 要除錯、團隊想統一開發流程——這幾個場景都蠻適合。

YC CEO 自己在用的工具,開源出來讓大家撿便宜。MIT 授權,想改就改。裝不裝得起來就看你跟 Bun 有沒有緣了。

參考來源:gstack GitHub Repository
參考來源:Claude Code in Action - Anthropic Academy