核心用法
Xpoz Setup 是 Xpoz 社媒情报平台的前置依赖技能,负责配置 MCP 服务器并完成 OAuth 认证。该技能设计为全自动执行,用户无需手动运行命令。Agent 首先检测是否已认证,若未认证则检查 mcporter 工具可用性(OpenClaw 内置组件),随后添加 Xpoz MCP 服务器配置。
认证流程根据运行环境自动分支:本地环境(macOS/带图形界面的 Linux)使用浏览器自动流,执行 mcporter config login xpoz 即可打开默认浏览器完成授权;远程/无头服务器则进入手动码流,生成 PKCE 授权 URL 发送给用户,等待用户返回授权码后完成令牌交换。整个过程令牌不落盘、不打印,安全存储于 mcporter 配置中。
显著优点
1. 零配置门槛:无需 API Key 复制粘贴,无需本地安装 npm 包,纯远程 MCP 服务器架构
2. 环境自适应:自动检测本地/远程环境,提供浏览器自动流和手动码流两种方案
3. 安全设计:OAuth 2.1 + PKCE + 动态客户端注册,公钥加密流程,令牌不暴露于日志
4. 平台覆盖广:认证后可访问 Twitter、Instagram、TikTok、Reddit 四大平台,索引 15 亿+ 帖子
5. 免费层级:Google 账户即可注册,无需信用卡
潜在缺点与局限性
- 单点依赖:所有 Xpoz 技能的前置条件,认证失败则下游功能全部不可用
- 远程交互延迟:无头环境需用户手动点击链接、复制授权码,流程耗时不可控
- 网络要求:必须能访问
mcp.xpoz.ai和www.xpoz.ai,部分网络环境可能受限 - mcporter 绑定:依赖 OpenClaw 生态的 mcporter 工具,无法独立部署
- 权限粒度:OAuth scope 为
mcp:tools,暂无法细粒度控制平台级权限
适合人群
- 需要跨平台社媒情报搜集的研究者、营销人员、分析师
- 使用 OpenClaw/ClawHub 生态的自动化 Agent 开发者
- 希望避免繁琐 API 申请流程、偏好 OAuth 即开即用体验的用户
常规风险
- OAuth 流程中断:用户未及时完成浏览器授权或复制错授权码,需重试流程
- 会话过期:长期未使用可能导致令牌失效,需重新执行 setup
- 误删配置:mcporter 配置误操作可能导致需重新认证
- 免费额度限制:高频查询可能触发免费 tier 限制,需升级付费计划