de clawnotes10
Récupère les tickets GitHub et orchestre des sous-agents parallèles pour implémenter des correctifs, ouvrir des PR et suivre les retours d'examen via l'API REST de GitHub (sans CLI gh).
gh-issues est une compétence d'orchestration qui récupère les tickets GitHub, effectue des vérifications préliminaires et déploie des sous-agents spécialisés pour implémenter des correctifs et ouvrir des pull requests. Il automatise tout le cycle de vie : analyse des arguments, sélection des tickets, création de branches/PR (via curl + l'API REST GitHub), et gestion des examens via des sous-agents de correction. Il prend en charge les modes cron et watch, les flux de travail en mode fork, et le suivi des tâches en cours basé sur des revendications.
Utilisez cette compétence lorsque vous souhaitez : récupérer et trier des tickets programmatiquement ; faire en sorte que des agents automatisés tentent des corrections de code ciblées et ouvrent des PR ; surveiller les commentaires de revue de PR et déployer des agents de correction de suivi ; ou exécuter sur un planning (cron) pour traiter les tickets progressivement. Il est conçu pour les dépôts où des corrections automatisées sont plausibles et sûres à tenter.
Cette compétence est destinée aux agents de style OpenClaw capables d'exécuter shell exec, sessions_spawn, et d'utiliser le GH_TOKEN injecté dans l'environnement. Elle nécessite que curl et git soient disponibles dans l'exécution et déploie des sous-agents capables d'exécuter des flux de correction de code (modèles comme glm-5, famille codex, ou autres LLM capables de coder).
gh-issues is a comprehensive GitHub issue orchestration skill that fetches issues, spawns sub-agents to implement fixes, and monitors PR review comments. It uses curl + GitHub REST API exclusively (no gh CLI). The skill_md is thorough with 6 well-defined phases, argument parsing, fork mode, cron mode, watch mode, and claim-based deduplication. No bundled scripts to test.
Security deductions: -12 for shell injection risk (unquoted variables in curl commands like {SOURCE_REPO}, {title}, {body} in JSON templates), -15 for credential exposure (token in git remote URLs visible via git remote -v), -8 for global git config modification (credential.helper cleared globally), -3 for jq string interpolation without sanitization. The skill is well-structured and genuinely useful but the security model relies on the agent executing commands in a controlled environment. No evidence of malicious intent. No curl|bash, no hardcoded credentials, no data exfiltration, no auto-update mechanisms. The skill uses proper GitHub API auth patterns. Architecture is strong with clear phase separation, though the monolithic SKILL.md could benefit from splitting scripts/ references.
