Habilidades zentao-api
📦

zentao-api

v1.0.0 Riesgo alto ⚡ Contiene scripts⚙️ Comandos externos📁 Acceso al sistema de archivos🌐 Acceso a red

Gestionar elementos de trabajo de ZenTao mediante API

Los equipos necesitan acceso rápido a los registros de ZenTao sin memorizar cada endpoint REST. Esta skill asigna las solicitudes de los usuarios a llamadas a la API de ZenTao para proyectos, bugs, requisitos, tareas, pruebas, lanzamientos y usuarios.

Compatible con: Claude Codex Code(CC)
⚠️ 38 Deficiente
1

Descargar el ZIP de la habilidad

2

Subir en Claude

Ve a Configuración → Capacidades → Habilidades → Subir habilidad

3

Activa y empieza a usar

Recursos legibles por agentes

Usa estos enlaces cuando un agente de IA, crawler o script necesite contexto limpio en vez de leer la página completa.

Pruébalo

Usando "zentao-api". Muestra bugs no resueltos para el producto 6.

Resultado esperado:

Un informe de bugs agrupado con ID de bug, título, severidad, persona asignada, estado y próxima acción recomendada.

Usando "zentao-api". Crea una tarea en la ejecución 18 para pruebas de regresión de API.

Resultado esperado:

Un mensaje de confirmación que muestra el nombre de la tarea, la ejecución, la persona asignada, la estimación y los campos que se enviarán.

Usando "zentao-api". Cierra la historia 122 porque está terminada.

Resultado esperado:

Una actualización de estado que confirma el motivo de cierre, la historia afectada, el resultado de la API y cualquier advertencia del servidor devuelta por ZenTao.

Auditoría de seguridad

Riesgo alto
v2 • 6/29/2026

Static analysis over-reported many Markdown backticks and weak-cryptography hits that are false positives in API documentation. However, manual review confirmed a high-risk eval workflow that emits unescaped credentials into the shell and a plaintext persistent token cache. No prompt injection attempt or confirmed malicious intent was found, so this is not a critical block.

3
Archivos escaneados
776
Líneas analizadas
10
Review items
0
False positives ignored

Confirmed security concerns (4)

Alto
Shell Eval Command Injection in Token Setup
The skill tells users to run the token helper through eval. The helper prints unescaped URL, token, and account values as shell assignments, so metacharacters from environment variables, the cache file, or a server response can execute in the user shell.
The eval instruction is explicit, and the script emits raw variable values without shell escaping. This creates a direct command execution path if any emitted value is attacker controlled.
Alto
Persistent Plaintext ZenTao Token Cache
The helper stores ZenTao URL, account, and token in a hidden home-directory JSON file. The documentation states ZenTao tokens are permanent, so local file disclosure can expose long-lived account access.
The cache path and write operations are directly present, and the comments describe permanent token behavior. The risk depends on local file permissions but the credential persistence is confirmed.
Bajo
Markdown Backticks Misclassified as External Commands
Most static external command hits in SKILL.md and api-reference.md are Markdown code spans, shell examples, endpoint paths, or API tables. They are not executable Ruby backticks in a source file.
The cited lines are documentation text and tables, not Ruby code. The exception is the documented shell eval workflow, which is captured as a separate high-risk finding.
Bajo
Weak Cryptography Findings Are Terminology False Positives
The weak cryptography hits map to API documentation terms, enum values, field names, and Markdown content. No evidence found of hashing, encryption, or custom cryptographic implementation in the reviewed files.
Manual review of representative flagged lines shows API fields and status values rather than crypto operations. This makes the high static severity misleading for that pattern.
Capability review items (2)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Medio
Authenticated Network Requests and Mutating API Operations
The skill is designed to send authenticated requests to a user-configured ZenTao server and supports create, update, delete, and status transition actions. This is expected for the skill, but it can change project records and should require clear user confirmation.
The network call and many mutating curl examples are visible. The behavior is legitimate for this integration, but it raises operational risk when credentials are available.
Bajo
High Entropy Heuristic Appears Caused by Documentation Text
The high entropy heuristic points at normal shell script and Markdown files containing Chinese text and dense API references. No evidence found of encoded payloads, binary blobs, or encrypted content.
The flagged files are readable source and documentation. The confidence is below very high because entropy is a heuristic, but the reviewed context does not show obfuscation.

Patrones detectados

Shell Eval Command Injection in Token SetupPersistent Plaintext ZenTao Token Cache

Puntuación de calidad

45
Arquitectura
100
Mantenibilidad
87
Contenido
68
Comunidad
4
Seguridad
91
Cumplimiento de la especificación

Lo que puedes crear

Dar seguimiento al trabajo del sprint

Enumera proyectos activos, ejecuciones, tareas asignadas, bugs no resueltos y trabajo bloqueado desde ZenTao.

Mantener el backlog de producto

Crea, actualiza, cierra o activa historias, épicas, requisitos, planes de producto y lanzamientos.

Coordinar pruebas

Gestiona bugs, casos de prueba, tareas de prueba, builds y preparación de lanzamientos a partir de datos de la API de ZenTao.

Prueba estos prompts

Enumerar trabajo activo de proyectos
Muestra mis proyectos y ejecuciones activos de ZenTao. Incluye tareas abiertas y bugs no resueltos, agrupados por proyecto.
Crear un bug confirmado
Crea un bug de ZenTao para el producto 12 titulado Login fails after password reset. Usa opened build trunk y severity 2. Pídeme confirmación antes de crearlo.
Actualizar detalles de requisitos
Actualiza la historia 345 con los nuevos criterios de aceptación que proporcione. Obtén primero la historia actual, conserva los campos sin cambios y confirma los cambios finales antes de enviarlos.
Revisar preparación de lanzamiento
Para el producto 8, revisa la preparación del lanzamiento. Comprueba bugs abiertos, requisitos activos, builds, tareas de prueba y tickets. Resume bloqueos y próximas acciones recomendadas.

Mejores prácticas

  • Usa variables de entorno para la URL y las credenciales de ZenTao, y rota los tokens después de usar una máquina compartida.
  • Confirma cada acción de creación, actualización, eliminación, cierre, resolución o activación antes de enviar la solicitud.
  • Obtén los detalles actuales del registro antes de actualizaciones PUT para conservar los campos obligatorios sin cambios.

Evitar

  • No publiques el asistente de tokens actual sin reemplazar la salida de eval por exports seguros para shell.
  • No almacenes tokens de ZenTao de larga duración en directorios home compartidos sin permisos de archivo estrictos.
  • No emitas solicitudes de eliminación o cierre a partir de prompts vagos que carezcan de IDs de elementos y confirmación.

Preguntas frecuentes

¿A qué se conecta esta skill?
Se conecta a un servidor ZenTao mediante REST API v2.0 usando una URL y un token o credenciales de inicio de sesión.
¿Puede cambiar registros de ZenTao?
Sí. Puede crear, actualizar, eliminar, cerrar, resolver y activar registros compatibles de ZenTao cuando se autoriza.
¿Necesita un token de ZenTao?
Sí. Necesita ZENTAO_TOKEN o valores de cuenta y contraseña que puedan obtener un token.
¿Por qué el riesgo de seguridad es alto?
El flujo de trabajo eval documentado puede ejecutar salida sin escapar del asistente de tokens, y el asistente almacena tokens de larga duración en texto plano.
¿Se encontraron intentos de prompt injection?
No se encontró evidencia de texto de prompt injection en los archivos revisados de la skill.
¿Está lista para su publicación en el marketplace?
No. El asistente de tokens debe corregirse y revisarse antes de la publicación.

Detalles del desarrollador

Autor

easysoft

Licencia

MIT

Version

v1.0.0

Ref.

main

Estructura de archivos