核心用法
xpoz-setup 是所有 Xpoz 社交情报技能的前置依赖,负责 MCP 服务器配置与 OAuth 认证。其设计目标为"零用户干预"——由 Agent 自动完成全流程。
执行流程:
1. 状态检查:调用 xpoz.checkAccessKeyStatus 确认是否已认证
2. 环境检测:通过 DISPLAY/WAYLAND_DISPLAY/uname 判断本地/远程环境
3. 服务器注册:mcporter config add xpoz https://mcp.xpoz.ai/mcp --auth oauth
4. 认证分流:
5. 验证与返回:确认 hasAccessKey: true 后回到原技能继续任务
- 本地环境:
mcporter config login xpoz自动唤起浏览器完成 OAuth - 远程/headless:生成 PKCE 授权 URL 发送给用户,等待手动回填 authorization code,再完成 token 交换
显著优点
- 完全自动化:用户无需记忆任何命令,Agent 自主判断环境并执行对应流程
- OAuth 2.1 标准实现:支持动态客户端注册、PKCE S256、public client,安全性符合最新规范
- 环境自适应:本地浏览器流 vs 远程手动码流,覆盖开发机、服务器、容器等全场景
- 零本地依赖:纯远程 MCP 服务器,无需 npm 包或 API key 管理
潜在缺点/局限性
- 外部依赖重:强依赖
mcporterCLI 工具,若 npm 安装失败或网络受限则流程中断 - 远程流体验割裂:headless 场景需用户手动复制授权码,存在等待时间和操作摩擦
- token 生命周期未透明:文档未说明 token 过期后的自动刷新机制
- 单点故障风险:认证与数据服务均托管于 xpoz.ai,可用性完全依赖第三方 SLA
适合人群
- 需要快速获取 Twitter/Instagram/TikTok/Reddit 数据的 AI Agent 开发者
- 不愿自行申请各平台 API key、处理 rate limit 的个人或小型团队
- 使用 ClawHub/Claude 等支持 MCP 协议的 AI 助手的终端用户
常规风险
- 数据隐私:OAuth 授权后,Xpoz 服务端可访问用户社交账号的授权范围(
mcp:tools),需信任其数据处理方式 - 服务锁定:认证流程与 mcporter 及 Xpoz 服务深度绑定,迁移成本较高
- 免费 tier 限制:搜索次数受限,大规模使用需付费升级($20-$200/月)