← Back to Skills Marketplace
561
Downloads
1
Stars
1
Active Installs
5
Versions
Install in OpenClaw
/install zentao-api
Description
调用禅道(ZenTao)RESTful API v2.0 完成用户请求,覆盖项目集、产品、项目、执行、需求(Story/Epic/Requirement)、Bug、任务、测试用例、测试单、产品计划、版本、发布、反馈、工单、应用、用户、文件等 20 个模块的增删改查及状态流转操作。当用户提到禅道、zentao、查询...
Usage Guidance
简明建议:
- 功能与描述一致:这个技能就是为调用禅道 API 设计的,所需的环境变量(ZENTAO_URL、ZENTAO_TOKEN、ZENTAO_ACCOUNT、ZENTAO_PASSWORD)和请求头 token 是合理且必须的。只要你信任目标禅道服务器并提供相应凭据,技能可以工作。
- 注意元数据不完整:注册表条目没有声明脚本的运行依赖 (curl, node) 也没有列出环境变量,这意味着安装/运行前请确保环境满足这些依赖并额外留心为何未在元数据中声明。
- 凭据管理与缓存:scripts/get-token.sh 会把 token、url、account 写入 ~/.zentao-token.json(永久保存直到手动删除)。若你不希望持久化凭据,避免使用该脚本或在使用后立即删除该文件,并确保文件权限(仅限用户可读写)。优先使用直接提供的 ZENTAO_TOKEN(比在聊天中输入密码更安全)。
- 使用 eval 的风险:文档建议运行 eval "$(bash scripts/get-token.sh)",这会在当前 shell 环境中导出变量。请在受信任的环境下执行并先审阅脚本内容,确保没有意外命令。
- 网络与信任:脚本会向你指定的 ZENTAO_URL 的 /api.php/v2/users/login 发起登录请求。仅在你信任该服务器并确认 URL 正确无误时提供账户/密码或 token。
- 建议操作:
1) 在受控终端审查 scripts/get-token.sh。
2) 尽量使用 ZENTAO_TOKEN(而非密码)并通过环境变量传递;如果使用密码登录,使用后删除 ~/.zentao-token.json 或更改其权限。
3) 确保系统上安装并受信任的 curl 与 node。
4) 若希望更高保守性,可手动运行登录请求并只把最终 token 传给技能,而不让脚本在主目录写缓存。
总评:该包看起来是“做它声称要做的事”,但因为元数据不完整和脚本会在本地持久化敏感 token,我建议在安装/运行前按上面建议核查并谨慎提供凭据。
Capability Analysis
Type: OpenClaw Skill
Name: zentao-api
Version: 1.0.4
The skill bundle provides a comprehensive integration for the ZenTao API but contains a significant shell injection vulnerability in its authentication flow. The file 'scripts/get-token.sh' is designed to be executed via 'eval' by the AI agent (as instructed in 'SKILL.md'), but it outputs user-controlled variables (ZENTAO_URL, ZENTAO_TOKEN, ZENTAO_ACCOUNT) without sanitization. A maliciously crafted ZENTAO_URL could lead to arbitrary command execution on the host system when the agent evaluates the script's output. Additionally, the skill stores sensitive credentials in plaintext within '~/.zentao-token.json'. While these appear to be unintentional security flaws in a legitimate tool from the official ZenTao ecosystem (easysoft/chandao.com), they present a high risk of exploitation.
Capability Assessment
Purpose & Capability
名称与说明都表明这是一个用于调用禅道 v2 API 的技能;包含的 API 参考和示例与描述一致。唯一不一致之处是注册表元数据未声明该技能在运行时依赖的外部工具(脚本声明依赖 curl 和 node)和需使用的环境变量,说明包元数据不完整。
Instruction Scope
SKILL.md 明确要求执行 scripts/get-token.sh(通过 eval 将 ZENTAO_URL、ZENTAO_TOKEN、ZENTAO_ACCOUNT 导出到环境),并在后续所有请求中使用 token header。说明中仅限于与禅道交互的操作,没有要求读取系统中其它敏感配置或向非禅道端点发送数据。但脚本会读取/写入 ~/.zentao-token.json(缓存凭证),并可能提示用户提供账号/密码用于登录,这扩大了技能在宿主环境的写入/持久化范围。
Install Mechanism
该技能没有安装规范(instruction-only),没有下载或执行来自远程不受信任 URL 的二进制文件,这降低了安装时的系统风险。唯一的可执行内容是随包提供的脚本(scripts/get-token.sh)。
Credentials
技能需要 ZENTAO_URL、ZENTAO_TOKEN、ZENTAO_ACCOUNT、ZENTAO_PASSWORD(文档中列出)来完成对禅道的鉴权和调用;这些凭据与技能目的直接相关且是合理的。关注点是:注册表声明未列出这些必需/可选环境变量或外部依赖(curl,node),增加了不透明性;脚本会将 token 与 account 缓存到用户主目录文件 ~/.zentao-token.json,应注意凭据存放与权限管理。
Persistence & Privilege
技能不请求平台级别的常驻权限(always:false),也不修改其他技能或系统配置。但脚本会在用户主目录创建/覆盖 ~/.zentao-token.json(持久化 token/URL/account),这是该技能的持久化行为,应通知用户并考虑凭据生命周期管理与文件权限。
How to Use
- Make sure OpenClaw is installed (local or Docker)
- Run the install command in chat:
/install zentao-api - After installation, invoke the skill by name or use
/zentao-api - Provide required inputs per the skill's parameter spec and get structured output
Version History
v1.0.4
Version 1.0.4
- 增加元数据 (author, repository, keywords, version) 到 skill 配置,方便分发和归档。
- “常用操作示例”中新增了业务需求(Epic)和用户需求(Requirement)的创建示例,并统一建议创建需求时显式传递 grade 字段。
- “注意事项”补充:创建 Epic / Requirement / Story 时应显式传 grade,避免有些禅道环境下需求层级异常(如标签显示不正确)。
- 其余文档内容未改动,功能无变动。
v1.0.3
Version 1.0.3
- 增强必填字段规范,完善常用接口必填/可选字段与枚举说明
- 新增列表接口的分页与状态筛选参数说明,覆盖参数名差异及用法
- 明确字段名、状态流转接口与普通 PUT 编辑接口的区别与调用方法
- 补充模块支持详情,修正部分资源未有全局列表接口 (CUD) 的说明
- 调整示例与字段命名,确保与 API v2.0 一致
- 丰富“注意事项”、常用枚举值与速查表,有助于调用更精确
v1.0.2
- 扩展支持的模块,现已覆盖项目集、产品、项目、执行、需求、Bug、任务、测试用例、测试单、产品计划、版本、发布、反馈、工单、应用、用户、文件等 20 个模块的标准及状态操作
- 更新模块及接口说明,补充各资源路径和可用操作类型
- 补充更多意图识别规则,细化状态流转操作和模块区分
- 丰富操作示例,涵盖需求、Bug、任务、反馈等常见场景
- 优化说明结构,提高模块总览和使用易读性
v1.0.1
Refactor get-token script to improve cache reading logic and update related tests for consistency.
v1.0.0
Initial release with RESTful API workflow support and token script.
- Added api-reference.md documenting ZenTao RESTful API v2.0 endpoints and usage.
- Added scripts/get-token.sh for automatic token login, environment variable management, and credential caching.
- Supports both API querying (projects, bugs, tasks, executions) and write operations (create, edit, resolve).
- Provides clear instructions on environment configuration and authentication workflow.
- Details best practices and common troubleshooting steps for using ZenTao API.
Metadata
Frequently Asked Questions
What is Zentao API Skills(禅道 API 技能)?
调用禅道(ZenTao)RESTful API v2.0 完成用户请求,覆盖项目集、产品、项目、执行、需求(Story/Epic/Requirement)、Bug、任务、测试用例、测试单、产品计划、版本、发布、反馈、工单、应用、用户、文件等 20 个模块的增删改查及状态流转操作。当用户提到禅道、zentao、查询... It is an AI Agent Skill for Claude Code / OpenClaw, with 561 downloads so far.
How do I install Zentao API Skills(禅道 API 技能)?
Run "/install zentao-api" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.
Is Zentao API Skills(禅道 API 技能) free?
Yes, Zentao API Skills(禅道 API 技能) is completely free, licensed under MIT-0. You can download, install and use it at no cost.
Which platforms does Zentao API Skills(禅道 API 技能) support?
Zentao API Skills(禅道 API 技能) is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).
Who created Zentao API Skills(禅道 API 技能)?
It is built and maintained by Catouse (@catouse); the current version is v1.0.4.
More Skills