ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Ai C Plan

v1.0.0

AI-C plan klasöründeki MD/CSV planı okuyup dependency sırasına göre tamamen otomatik ilerler; geliştirir, test eder, raporlar.

0· 283·1 current·1 all-time
bySercan Boyraz@sercanmetalore
MIT-0
Download zip
LicenseMIT-0 · Free to use, modify, and redistribute. No attribution required.
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
The declared purpose (automatically execute a project plan from MD/CSV, implement, test, report) is plausible for the instructions. However, the skill does not declare any required binaries, tools, or environment variables even though the runtime instructions explicitly expect git, build/test/lint tooling, Prisma migrations, Node/JS toolchain, and filesystem access under /home/adige/AI-C. This mismatch (no declared binaries/envs despite demanding build/migration steps) is an inconsistency that should be fixed.
!
Instruction Scope
SKILL.md instructs the agent to read and enforce a local architecture doc and UI files at hard-coded absolute paths (e.g., /home/adige/AI-C/docs/..., /home/adige/AI-C/desing and /home/adige/AI-C/progress.json), auto-create folders/files, run database/schema migrations and run lint/test/build commands, and commit changes. These are broad, privileged operations on the user's filesystem and potentially on databases; they go beyond a simple 'read a plan' skill and could have destructive side effects if run against a production database or repository. The SKILL.md also contains a likely-typo path (/desing) which may cause unexpected behavior.
Install Mechanism
This is instruction-only (no install spec), which limits written code risk. However, not declaring required tooling is problematic: the instructions expect runtime tools (git, node/npm/yarn, prisma/migration tooling, test runners, possibly docker) but provide no guidance or checks. That mismatch increases the chance the agent will fail unpredictably or attempt actions assuming tools exist.
!
Credentials
The skill declares no required environment variables or credentials, yet the ENV POLICY section places heavy emphasis on .env files, creating .env.example files, and using .env to control external services. The skill will read/write .env.example and expects to use DEV_FALLBACK_MODE for missing secrets. This is inconsistent: the skill will interact with secrets/config but does not declare them, and it uses absolute repo paths that may contain sensitive data. Requesting no env vars while instructing access to environment-managed secrets is disproportionate.
!
Persistence & Privilege
The skill will persist progress to a hard-coded path (/home/adige/AI-C/progress.json), auto-init git if no repo exists, and write files/configs inside the workspace. While it is not 'always: true', its Autopilot Mode explicitly proceeds without per-step user approval (unless blocked). Autonomous execution combined with filesystem writes and DB migrations increases risk—especially because the skill can run schema migrations, commit changes, and modify repo structure without explicit approval.
What to consider before installing
This skill will autonomously read and modify a local project tree, create configuration files, run build/test commands and database migrations, and make git commits. Before installing or running it: - Do not run against a production machine or repository. Test in an isolated VM/container or a forked repo. - Ensure backups and database snapshots exist (migrations can change data). Require explicit confirmation before applying migrations to any real DB. - Inspect plan files and the architecture/UI documents it will read (plan/* and docs/architecture/* and /home/adige/AI-C/desing) — these are referenced by absolute paths. Fix the '/desing' typo if necessary. - Verify the environment: the skill expects tools such as git, Node/npm or yarn, Prisma/DB tools, test runners and possibly docker, but it does not declare them. Add checks or declare required binaries and versions. - Confirm that .env files in your workspace do not contain production secrets. The skill will create .env.example files and tries to avoid writing real secrets, but you should still ensure the agent cannot access live credentials. - Prefer changing the skill to ask for explicit per-step user approval for any potentially destructive action (git push, DB migrate, deleting files, prod deploy). - If you plan to proceed, request the maintainer to: (1) declare required binaries and env vars in the metadata, (2) remove hard-coded absolute paths or make them configurable, (3) disable fully-autonomous actions for migrations and commits or require user consent, and (4) add preflight checks that detect and refuse to operate on production remotes/DBs. Given these issues, treat the skill as suspicious until the above inconsistencies are addressed.

Like a lobster shell, security has layers — review code before you run it.

latestvk975bgyh6bpk46ek7578523e8n821gj3

License

MIT-0
Free to use, modify, and redistribute. No attribution required.
Termshttps://spdx.org/licenses/MIT-0.html

SKILL.md

Proje ve structure yapısını oluştur. Gerekli dosyaları oluştur. Teknoloji stack ve design referanslarına uygun şekilde kod yaz. Her step'te planlanan değişiklikleri uygula, test et, raporla. Gerektiğinde config dosyaları oluştur. Her step sonunda commit at. Eğer bir step eksik bilgi/erişim/bağımlılık nedeniyle yapılamıyorsa Blocked yap ve gereken aksiyonları açıkla.

PRE-EXECUTION RULE

Her step başlamadan önce:

  1. docs/architecture/AI_CONSULTANT_SYSTEM_PROMPT.md dosyasını oku
  2. Bu dokümandaki teknoloji stack ve monorepo yapısına uyduğunu doğrula
  3. Uymuyorsa step'i Blocked yap ve sapma nedenini açıkla 3.1 Minimum sapmayla uyumlandırmayı dene. 3.2 Gerekirse config dosyası üret. 3.3 Gerçekten imkansızsa Blocked yap. 4.Eksik klasörleri ve minimal dosyaları otomatik oluştur (packages/config gibi) ve devam et; sadece destructive işlemlerde dur.
  4. UI step başlamadan önce /home/adige/AI-C/desing klasöründeki ilgili ekran görseli/HTML dosyasını incele ve ekranı referansla birebir hizala.
  5. Database/schema değişikliği yapılıyorsa migration üret ve uygula.

ENV POLICY (No-Questions Mode)

Bu projede dış bağımlılıklar için tüm konfigürasyon .env üzerinden yönetilecek.

Kurallar:

  1. Agent gerçek secret üretmeye/uydurmaya çalışmaz.
  2. Agent her servis için .env.example ve ilgili alt-app .env.example dosyalarını oluşturur/günceller.
  3. Gerçek secret gerekli ise placeholder bırakır (örn: "REPLACE_ME") ve açıklama ekler.
  4. Eksik secret varsa:
    • Mümkünse "DEV_FALLBACK" moduna geç (mock provider / stub).
    • Uygulama boot edebilecek kadar default ile ilerle.
    • Sadece tamamen imkânsızsa Blocked yap.
  5. Tüm dış servis konfigürasyonları .env üzerinden yönetilir.
  6. .env.example dosyaları otomatik oluşturulur/güncellenir.
  7. Gerçek secret üretilmez, placeholder bırakılır.
  8. Eksik secret varsa DEV_FALLBACK_MODE ile mock provider kullanılır.

Zorunlu dosyalar:

  • .env.example (repo root)
  • apps/api/.env.example
  • apps/web/.env.example
  • apps/mobile/.env.example

Git kuralları:

  • .env* dosyalarını gitignore et (sadece *.example commit edilir).

Autopilot Modu

Bu skill, kullanıcıdan her adımda onay istemeden ilerler. Sadece şu durumlarda durur:

  • Bir step "Blocked" olursa (eksik bilgi/erişim/bağımlılık).
  • Güvenli olmayan/destructive bir işlem gerekiyorsa (silme, prod deploy, ödeme, gizli anahtar yazma).
  • Plan dosyaları bulunamazsa.

Plan Kaynakları (öncelik)

  1. plan/ai_consultant_mobile_project_plan.md
  2. Yoksa plan/ai_consultant_full_project_plan.md
  3. Md yoksa csv fallback dosyaları

Yürütme Algoritması

  1. Planı oku → tüm ST-* satırlarını çıkar.
  2. Bir DAG oluştur:
    • depends tamamlanmadan step başlamaz.
    • blocks bir sonraki hedefi gösterir (sıra/öncelik ipucu).
  3. Çalıştırma sırası:
    • Önce P0'lar, sonra P1/P2/P3
    • Aynı öncelikte dependency-ready olanları sırayla
  4. Her step için:
    • "Planlanan değişiklik" (kısa)
    • Uygulama: dosya değişiklikleri
    • Komutlar: lint/test/build (repo yapısına göre)
    • Schema değişikliği varsa: Prisma migration (apps/api içinde) + migration dosyaları
    • Doğrulama: acceptance kriteri yerine "plan hedefi + çalışır build/test"
    • Status: Done / Blocked
    • Blocked ise: neden + gereken aksiyonlar + hangi bilgi lazım
  5. Her tamamlanan step sonunda:
  • git add .
  • Conventional Commit formatında commit at
  • Commit mesajı: "feat(epic-01): initialize monorepo structure"

Repo/Çalışma Kuralları

  • Workspace dışına yazma.
  • Gizli anahtarları (API key, cert, signing key) dosyaya yazma; sadece env değişkeni olarak tarif et.
  • Progress kaydı tek kaynak olarak /home/adige/AI-C/progress.json üzerinde tutulur.
  • Bir step tamamlandığında ilgili step status alanını done/DONE olarak güncelle.
  • Kullanıcıdan onay istemeden sıradaki runnable maddeye geç.
  • Her 3-5 step’te bir veya büyük bir değişiklikte:
    • git status kontrol et
    • mümkünse küçük commit at (repo git ise)
  • Eğer repo yoksa güvenli şekilde git init yap ve devam et.

Çıktı Formatı

Her step için:

Step <ID>: <Title>

  • Priority:
  • Depends:
  • Changes:
  • Files changed:
  • Commands run:
  • Verification:
  • Status: Done/Blocked

Files

1 total
Select a file
Select a file to preview.

Comments

Loading comments…