Bewährte Skills für QA und Tester:innen
Webapp-Testing, Playwright Pro, Accessibility-Audit und Security-Analyse: vier Skills die Testing mit Claude Code deutlich verbessern.
Warum Skills für QA?
Testing mit KI klingt verlockend, aber ohne spezialisierte Skills fehlt Claude das nötige Handwerkszeug. Es kann zwar Testcode schreiben, aber echte Browser-Interaktion, automatisierte WCAG-Audits oder Security-Scanning gehen weit darüber hinaus. Mit den richtigen Skills wird Claude zum Testing-Partner der klickt, prüft, findet und fixt.
Hier sind vier Skills die QA-Arbeit mit Claude Code auf ein neues Level heben.
1. Webapp Testing (Anthropic)
Der webapp-testing Skill gibt Claude echte Browser-Kontrolle via Playwright. Claude startet einen Browser, navigiert deine App, klickt Buttons, füllt Formulare aus, validiert Ergebnisse und macht Screenshots. Kein simuliertes Testing, sondern echte End-to-End-Tests gegen deine laufende Anwendung.
Installation:
npx skills add https://github.com/anthropics/skills --skill webapp-testing
Der Skill bringt eigene Helper-Scripts mit die Server-Lifecycle managen. Du kannst Backend und Frontend gleichzeitig starten und testen:
Teste den Checkout-Flow unserer App auf localhost:3000. Lege ein Produkt in den Warenkorb, gehe zur Kasse, fülle das Formular aus und prüfe ob die Bestätigungsseite erscheint.
Ich starte den Browser und navigiere zu localhost:3000. Zuerst mache ich einen Reconnaissance-Durchlauf um die Seitenstruktur zu verstehen.
Schritt 1: Produktseite geladen, ich klicke "In den Warenkorb" beim ersten Produkt. Schritt 2: Warenkorb-Badge zeigt "1", ich klicke auf "Zur Kasse". Schritt 3: Checkout-Formular erscheint. Ich fülle Name, E-Mail und Adresse aus. Schritt 4: Klick auf "Jetzt kaufen". Schritt 5: Bestätigungsseite mit Bestellnummer #4821 erscheint. Screenshot gespeichert.
Ergebnis: Checkout-Flow funktioniert. Auffällig: Das Formular akzeptiert eine ungültige Postleitzahl "abc123" ohne Validierung. Soll ich das als Bug dokumentieren?
Praxis-Tipp: Der Skill arbeitet nach dem Reconnaissance-then-Action Prinzip. Das heißt Claude erkundet zuerst die Seite und plant dann die Aktionen. Das ist zuverlässiger als blindes Klicken. Nutze das bewusst, indem du Claude bittest erst die Seitenstruktur zu analysieren.
2. Playwright Pro (alirezarezvani)
Playwright Pro ist ein umfassendes Toolkit mit 9 Sub-Skills, 3 Agenten und 55 Templates. Wo webapp-testing einzelne Tests ausführt, bietet Playwright Pro ein komplettes Test-Framework-Management.
Installation:
npx agent-skills-cli add alirezarezvani/claude-skills/engineering-team/senior-qa
Die drei nützlichsten Sub-Skills:
/pw:generate - Tests automatisch generieren
/pw:generate - Generiere E2E-Tests für unser Login-Modul. Abdecken: erfolgreicher Login, falsches Passwort, gesperrter Account, "Passwort vergessen" Flow.
Ich generiere 4 Testfälle mit dem Page Object Pattern. Jeder Test hat Setup, Aktion und Assertion. Die Tests nutzen Fixtures für Testdaten und sind unabhängig voneinander ausführbar. Soll ich auch Negative-Tests für SQL-Injection im Login-Feld ergänzen?
/pw:fix - Flaky Tests reparieren
Jeder kennt das Problem: Tests die manchmal grün und manchmal rot sind. Der Fix-Sub-Skill analysiert warum ein Test instabil ist und behebt die Ursache. Typische Fixes: fehlende Waits, Race Conditions, unzuverlässige Selektoren.
/pw:migrate - Von Cypress migrieren
Wer von Cypress zu Playwright wechselt, kann bestehende Tests automatisch konvertieren lassen. Der Sub-Skill übersetzt Cypress-Kommandos, passt Selektoren an und migriert Fixtures.
Praxis-Tipp: Nutze /pw:coverage regelmäßig um Lücken in deiner Test-Abdeckung zu finden. Der Sub-Skill zeigt dir welche User-Flows noch nicht getestet sind und schlägt priorisierte Testfälle vor.
3. Accessibility Auditor (Community)
Mehrere Skills im Ökosystem führen automatisierte WCAG-Audits durch. Der claude-a11y-skill von airowe kombiniert axe-core und jsx-a11y für umfassende Accessibility-Prüfungen. Alirezarezvani's Sammlung enthält ebenfalls einen a11y-Audit-Skill.
Installation:
git clone https://github.com/airowe/claude-a11y-skill .claude/skills/a11y-audit
Führe ein WCAG 2.2 AA Audit auf unserer Startseite durch (localhost:3000). Fokus auf Kontraste, Tastaturnavigation und Screenreader-Kompatibilität.
Audit abgeschlossen. 3 kritische und 7 mittlere Findings:
Kritisch 1: Das Hauptmenü ist per Tastatur nicht erreichbar. Der Nav-Container hat kein tabindex und die Links sind in einem div statt einem nav-Element.
Fix: Nav-Element statt div verwenden und role="navigation" ergänzen.
Kritisch 2: Kontrastverstoß bei der sekundären CTA "Mehr erfahren". Grauer Text #9CA3AF auf weißem Grund ergibt ein Kontrastverhältnis von 2.9:1, benötigt wird 4.5:1.
Fix: Textfarbe auf #6B7280 ändern, ergibt 4.6:1.
Kritisch 3: Bilder im Hero-Bereich ohne alt-Attribute. Screenreader lesen den Dateinamen vor.
Soll ich die Fixes direkt umsetzen?
Praxis-Tipp: Mach Accessibility-Audits zum festen Bestandteil deiner CI-Pipeline. Der Skill lässt sich auch per Slash Command in bestehende Workflows einbinden, sodass bei jedem PR automatisch geprüft wird.
4. Trail of Bits Security Skills
Trail of Bits bringt die Expertise einer renommierten Security-Firma in Claude Code. Besonders relevant für QA: der Static Analysis Skill mit CodeQL und Semgrep Integration. Er findet Sicherheitslücken die funktionale Tests nicht abdecken.
Installation:
npx skills add trailofbits/skills --skill static-analysis
Die Sammlung umfasst über ein Dutzend spezialisierte Plugins:
- static-analysis: CodeQL, Semgrep und SARIF-Parsing für automatisierte Schwachstellensuche
- semgrep-rule-creator: Erstellt eigene Semgrep-Regeln für projektspezifische Muster
- sharp-edges: Findet fehleranfällige APIs, gefährliche Default-Konfigurationen und typische Stolperfallen
Führe eine Security-Analyse auf unserem API-Verzeichnis durch. Fokus auf Injection-Schwachstellen und unsichere Konfigurationen.
Analyse mit Semgrep abgeschlossen. 2 High, 4 Medium Findings:
High 1: SQL-Injection in /api/users/search.ts, Zeile 23. Die Suchanfrage wird direkt in den Query-String interpoliert statt als Parameter übergeben.
High 2: SSRF-Risiko in /api/proxy.ts. Die URL wird ungefiltert vom Request-Body übernommen, ein Angreifer könnte interne Services erreichen.
Medium 1-4: Fehlende Rate-Limiting auf Auth-Endpoints, unsichere CORS-Konfiguration, fehlende Content-Security-Policy Header, JWT-Secret als Klartext in der Config.
Soll ich die Fixes priorisiert umsetzen, High zuerst?
Praxis-Tipp: Trail of Bits' Skills haben in der Praxis bereits echte Schwachstellen gefunden. Ihr constant-time-analysis Skill hat zum Beispiel eine Timing-Seitenkanalattacke in einer Kryptographie-Library entdeckt. Nutze den static-analysis Skill als Ergänzung zu deinen funktionalen Tests, nicht als Ersatz.
Fazit: Die ideale Skill-Kombination für QA
Für QA-Profis empfehlen wir dieses Setup:
- Webapp Testing als Basis für schnelle manuelle Smoke-Tests im Browser
- Playwright Pro für strukturiertes Test-Framework-Management und automatisierte Testgenerierung
- Accessibility Auditor für WCAG-Compliance, idealerweise in die CI-Pipeline integriert
- Trail of Bits Security für Security-Testing das über funktionale Tests hinausgeht
Die Kombination deckt die vier Säulen moderner QA ab: funktionale Tests, Accessibility, Security und Regression. Alle Skills sind Open Source und lassen sich in Minuten installieren.
Starte mit webapp-testing für den schnellsten Einstieg. Sobald du die Browser-Automatisierung in Aktion siehst, wirst du nicht mehr ohne wollen.