📦 Gen Test Plan — 自动生成端到端测试计划
v1.0.0分析仓库,检测技术栈,追踪对用户可见入口点的更改,生成可执行的端到端(E2E)YAML测试计划,模拟真实人工QA测试流程。
0· 31·1 当前·1 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能旨在生成端到端测试计划,但其运行指令假设访问了许多本地工具、凭据和服务而未声明,这可能导致不一致,使用前请了解。
评估建议
虽然该技能看似合法的E2E测试计划生成器,但它假设可以读取仓库、发现端口、构建/运行二进制文件、访问数据库,并使用诸如psql和agent-browser等工具——却没有声明任何所需的二进制文件或环境变量。使用前,请:1) 请求作者在清单中列出所需的CLI和环境变量;2) 在隔离环境中检查生成的测试计划;3) 确保提供所需的凭据;4) 如果需要更高的保证,请请求作者添加一个最小的`requires`部分。...详细分析 ▾
⚠ 用途与能力
名称/描述与SKILL.md意图匹配,但指令需要与未声明的构建工件、数据库、局部服务器和`agent-browser` CLI交互,能力与要求映射不完整。
⚠ 指令范围
SKILL.md包含许多具体的运行时操作(git命令、grep、启动服务器、curl、psql、agent-browser、docker-compose、构建二进制文件、查询DATABASE_URL、引用ANTHROPIC_API_KEY的示例)。这些操作在E2E测试范围内,但它们读取和操作未声明的本地系统状态和凭据,可能在执行时产生实际副作用。指令未尝试限制或沙盒这些操作。
✓ 安装机制
仅指令的技能,无安装规格和代码文件——供应链/安装风险低。安装步骤不会下载或写入任何内容。
⚠ 凭证需求
文档明确引用环境值和外部工具(例如DATABASE_URL、ANTHROPIC_API_KEY、psql、agent-browser),并期望代理与数据库和服务交互,但清单声明了零个所需的环境变量或二进制文件。这种不匹配可能导致运行时意外使用敏感凭据或缺失先决条件。
✓ 持久化与权限
always:false和disable-model-invocation:true减少了自主风险(模型不会自主调用此技能)。该技能不请求持久的代理范围内的权限,也不修改其他技能。未请求任何提升的“always”权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/11
Gen Test Plan的初始发布——通过分析代码和仓库更改生成E2E YAML测试计划,重点关注真实用户行为。功能包括:分析仓库更改、检测技术栈、追踪对用户可见入口点的更改、生成优先级测试案例、输出可执行YAML测试计划。
● 无害
安装命令
点击复制官方npx clawhub@latest install gen-test-plan
镜像加速npx clawhub@latest install gen-test-plan --registry https://cn.longxiaskill.com
技能文档
分析仓库的技术栈、分支更改与默认分支的差异,并生成一个可执行的YAML测试计划,重点关注用户可见的影响。这是一个端到端测试计划——而不是自动化测试包装器。生成的计划将由一个自治代理执行,模拟真实人工QA测试人员的行为:启动真实二进制文件、访问真实端点、与真实数据库交互,并验证真实的可观察行为。