核心用法
该 Skill 本质是一份使用指南,介绍如何通过命令行调用 copilot-money-cli 这一第三方开源工具,以获取 Copilot Money 的个人财务数据。用户需先独立安装 CLI(pip install copilot-money-cli),完成浏览器 Token 自动提取或手动配置后,即可查询:
- 账户信息:
copilot-money accounts列出所有账户及余额,支持按类型过滤(CREDIT/DEPOSIT/INVESTMENT 等) - 交易记录:
copilot-money transactions --count N获取最近 N 条交易 - 净资产:
copilot-money networth展示资产、负债及净值 - 投资组合:
copilot-money holdings查看持仓明细,支持按账户、代码或资产类型分组 - 资产配置:
copilot-money allocation查看股票/债券及美/国际配置比例 - 数据刷新:
copilot-money refresh同步银行最新数据
显著优点
1. 纯文档零执行:Skill 本身无任何可执行代码,不发起网络请求,不收集用户数据,隐私风险极低
2. 功能覆盖全面:涵盖个人财务管理的核心场景(账户、交易、净值、持仓、配置)
3. CLI 灵活高效:支持 JSON 输出、多重过滤、分组查看,适合自动化脚本和高级用户
4. Token 获取便捷:支持从 macOS 浏览器自动提取 Copilot Money 会话令牌,减少手动配置
潜在缺点与局限性
1. 依赖外部工具:Skill 仅为说明文档,实际功能完全依赖第三方 CLI 工具,该工具由个人开发者维护(T3 来源),非 Copilot Money 官方出品
2. 安全风险转移:CLI 工具需读取浏览器 IndexedDB 中的敏感 Token,且访问完整财务数据,存在凭证泄露和数据滥用风险
3. 平台限制:浏览器 Token 自动提取仅支持 macOS,其他系统需手动配置
4. 无实时安全保障:CLI 工具的安全性需用户自行评估,Skill 无法保证其代码质量或后续更新
5. 非官方关联风险:Copilot Money 官方可能随时更改 API,导致 CLI 工具失效
适合人群
- 已使用 Copilot Money 付费订阅的高级用户
- 熟悉命令行、注重效率的技术型理财者
- 希望将财务数据集成到自定义工作流(如 Notion、Obsidian、自动化脚本)的开发者
- 能接受自行审查第三方开源工具安全性的谨慎用户
常规风险
| 风险类型 | 说明 |
|---------|------|
| 凭证泄露 | CLI 工具读取浏览器存储的 Refresh Token,若工具被篡改或存在漏洞,可能导致账户接管 |
| 数据暴露 | 财务数据(账户余额、交易明细、持仓)在本地 CLI 与 Copilot Money API 间传输,存在中间人攻击或本地日志泄露风险 |
| 供应链攻击 | PyPI 包可能被恶意投毒,建议校验源码或锁定版本 |
| 隐私合规盲区 | CLI 工具的数据处理声明需用户自行确认,Skill 本身不承担该责任 |