Habilidades zentao-tour
📦

zentao-tour

v1.0.0 Riesgo medio ⚙️ Comandos externos🌐 Acceso a red📁 Acceso al sistema de archivos

Explora ZenTao con recorridos guiados por rol

Los nuevos usuarios de ZenTao suelen tener dificultades para conectar conceptos, comandos y flujos de trabajo reales. Esta skill los guía mediante recorridos basados en roles usando zentao-cli y una conversación sencilla.

Compatible con: Claude Codex Code(CC)
🥉 77 Bronce

Esta habilidad forma parte de un paquete

Instala el paquete completo y obtén en un solo comando todas las habilidades que necesita la tarea.

1

Descargar el ZIP de la habilidad

2

Subir en Claude

Ve a Configuración → Capacidades → Habilidades → Subir habilidad

3

Activa y empieza a usar

Recursos legibles por agentes

Usa estos enlaces cuando un agente de IA, crawler o script necesite contexto limpio en vez de leer la página completa.

Pruébalo

Usando "zentao-tour". Soy nuevo en ZenTao y quiero ver qué puede hacer.

Resultado esperado:

El asistente comprueba tu cuenta activa de ZenTao, pregunta qué rol del equipo encaja contigo e inicia una breve ruta guiada para ese rol.

Usando "zentao-tour". Muéstrame cómo trabaja un tester en ZenTao.

Resultado esperado:

El asistente ayuda a seleccionar una historia, redactar casos de prueba, crear una tarea de prueba y demostrar el ciclo de vida de un bug con confirmación antes de los cambios.

Usando "zentao-tour". Solo quiero una visión general de gestión.

Resultado esperado:

El asistente usa consultas de solo lectura para resumir proyectos activos, salud del producto, releases, feedback o tickets según el foco que elijas.

Auditoría de seguridad

Riesgo medio
v2 • 6/29/2026

Static analysis reported many command, network, filesystem, weak-crypto, and entropy issues, but the command and entropy hits are mostly Markdown examples, Mermaid syntax, Chinese prose, and documentation links. The confirmed risk is legitimate but elevated: the skill asks an agent to run zentao-cli against a live ZenTao instance, including create, update, state transition, and delete operations after user confirmation.

7
Archivos escaneados
760
Líneas analizadas
8
Review items
0
False positives ignored
Capability review items (5)

These are real local capabilities that may be expected for this skill, so they require review but are not counted as confirmed malicious behavior.

Medio
Live ZenTao Data Mutation Through CLI Commands
The skill instructs the agent to create products, stories, plans, projects, executions, tasks, test cases, bugs, and to perform status transitions in a real ZenTao environment. The workflow requires user consent before write operations, so this is legitimate product behavior, but a mistaken confirmation could alter production project data.
The files contain explicit zentao-cli create, update, resolve, close, start, and finish examples. The risk is moderated because SKILL.md also requires consent before create, update, delete, and status-flow commands.
Medio
Credential And Token Handling In Setup Guidance
The onboarding guide shows ZenTao login commands, environment variables, token-based MCP configuration, and a local credential cache path. This is normal setup guidance, but users could expose credentials if they paste real secrets into shared prompts, logs, or configuration files with weak local permissions.
The documentation directly references passwords, tokens, environment variables, and local credential cache paths. I found no exfiltration behavior, so this remains a handling and disclosure risk rather than malicious activity.
Bajo
Static Command-Execution Findings Are Mostly Markdown Examples
The scanner classified Markdown backticks and command snippets as Ruby or shell backtick execution. These are documentation examples for zentao-cli and Mermaid diagrams, not embedded executable code in the skill package.
Manual review shows Markdown code fences and inline command text, not Ruby source or dynamic shell execution primitives. The commands are intended examples for an AI assistant to run only within the tour workflow.
Bajo
Hardcoded URLs Are Documentation And Example Endpoints
The hardcoded URLs point to the zentao-cli repository, ZenTao documentation, and a placeholder ZenTao server. I found no evidence that the skill sends hidden data to these URLs.
The reviewed URLs are visible documentation links or example configuration values. No hidden network call, webhook, or credential exfiltration instruction was found.
Bajo
Filesystem And Weak-Crypto Alerts Appear To Be False Positives
Filesystem alerts are caused by relative Markdown links and documented local configuration paths. Weak-cryptography and entropy alerts appear to be triggered by Markdown filenames, MCP configuration text, Chinese content, and dense command tables rather than cryptographic code or encoded payloads.
The cited lines are documentation references or benign config paths, and there is no code implementing cryptography or decoding payloads. The entropy score is consistent with non-English prose and compact CLI syntax.

Patrones detectados

State-Changing CLI OperationsToken And Password Configuration Examples

Puntuación de calidad

55
Arquitectura
100
Mantenibilidad
87
Contenido
69
Comunidad
75
Seguridad
91
Cumplimiento de la especificación

Lo que puedes crear

Incorporar a un nuevo product manager

Convierte una idea de producto en un producto de ZenTao, varias historias y un primer plan de producto.

Practicar el flujo de entrega

Crea un proyecto, añade un sprint, divide historias en tareas y revisa el progreso de las tareas.

Aprender el flujo de calidad

Recorre los flujos de casos de prueba, bugs, propiedad de tareas, resolución y cierre.

Prueba estos prompts

Iniciar un recorrido básico
Llévame por un recorrido de ZenTao. Primero comprueba si zentao-cli está listo y luego ayúdame a elegir la ruta de rol adecuada.
Probar la planificación de producto
Guíame como product manager. Ayúdame a crear un producto de ejemplo, escribir algunas historias y colocarlas en un plan.
Ejecutar un recorrido de sprint
Guíame por un flujo de trabajo de project manager en ZenTao. Usa un producto existente, crea un proyecto y un sprint, y luego divide el trabajo en tareas.
Revisar métricas ejecutivas
Usa la vista ejecutiva para inspeccionar el ritmo del proyecto y la salud del producto. Mantenlo en modo de solo lectura y resume las señales más importantes.

Mejores prácticas

  • Usa un espacio de trabajo sandbox o de demostración de ZenTao para los primeros recorridos.
  • Confirma cada comando de escritura o eliminación antes de ejecutarlo.
  • Mantén tokens y contraseñas fuera de prompts, capturas de pantalla y logs compartidos.

Evitar

  • No ejecutes el recorrido con datos de producción sin copias de seguridad o permiso.
  • No pegues contraseñas reales de ZenTao en sesiones públicas o compartidas del asistente.
  • No omitas la selección de rol ni obligues a todos los usuarios a seguir el mismo flujo de trabajo.

Preguntas frecuentes

¿Para qué sirve esta skill?
Ayuda a los usuarios a aprender ZenTao mediante recorridos guiados basados en roles que usan comandos de zentao-cli.
¿Requiere zentao-cli?
Sí. El recorrido está construido alrededor de comprobaciones, comandos y configuración opcional de MCP con zentao-cli.
¿Puede cambiar mis datos de ZenTao?
Sí. Algunos recorridos por rol crean o actualizan registros tras la confirmación. Usa un espacio de trabajo de demostración mientras aprendes.
¿Qué roles admite?
Admite product manager, project manager, tester, developer, executive y una ruta exploratoria flexible.
¿La ruta executive es de solo lectura?
Sí. El archivo del rol executive indica explícitamente que la ruta es de solo lectura y no debe activar acciones de creación, actualización o eliminación.
¿Cómo deben gestionarse las credenciales?
Usa una configuración local segura siempre que sea posible. Evita compartir contraseñas, tokens o archivos de credenciales en caché en prompts o logs.

Detalles del desarrollador

Autor

easysoft

Licencia

MIT

Version

v1.0.0

Ref.

main

Estructura de archivos

📁 roles/

📄 dev.md

📄 executive.md

📄 pjm.md

📄 pm.md

📄 test.md

📄 overview.md

📄 SKILL.md