Weiyun Skills

核心用法

腾讯微云管理Skill是一套完整的云存储CLI工具，提供两种认证方式：二维码扫码登录（推荐）和浏览器Cookies导入。登录后会话凭证以600权限保存至本地cookies.json，支持24小时有效期内的免密操作。

主要功能矩阵：

• 文件管理：列出/搜索目录、单文件/批量文件夹上传下载（支持秒传、覆盖、分片）、移动复制重命名、新建文件夹
• 分享管理：创建带密码和有效期限制的分享链接、取消分享、列出活跃分享
• 空间管理：查看存储配额、回收站浏览与恢复、清空回收站（需二次确认）

典型调用示例：

# 扫码登录
python weiyun_skills/login.py --method qrcode

# 上传文件/文件夹
python weiyun_skills/main.py upload ./report.pdf /文档/
python weiyun_skills/main.py upload-folder ./资料/ /备份/ --overwrite

# 创建7天有效期的密码分享
python weiyun_skills/main.py share /文档/report.pdf --expire 7 --password abc1

# 查看空间使用
python weiyun_skills/main.py space

显著优点

1. 完整功能覆盖：涵盖Weiyun官方Web端绝大部分操作，支持大文件分片上传、秒传检测、递归文件夹同步
2. 三层深度防护：CLI交互确认层（_confirm()强制TTY确认或--yes显式绕过）+ Agent绑定策略层（禁止批量操作、禁止自动重试带破坏性标志、禁止凭证外泄）+ 主机文件权限层（0600模式、.gitignore保护、显式排除发布物）
3. 双语友好：同时支持中英文触发指令（"upload to weiyun"/"微云上传"），适合跨境协作场景
4. 灵活输出格式：JSON结构化返回便于程序化解析，同时提供人类可读的表格/进度显示

潜在局限与风险

| 风险类别 | 具体说明 |

|---------|---------|

| **凭证安全** | `cookies.json`包含密码等效会话，24小时内泄露可导致账户完全接管。必须避免存入云同步盘、Docker镜像、CI产物等 |

| **不可逆操作** | `delete --permanent`和`clear-recycle --confirm`立即永久删除，无回收站二次缓冲 |

| **覆盖风险** | `--overwrite`标志静默替换远程文件，历史版本不可恢复 |

| **API稳定性** | 依赖腾讯非官方逆向接口，存在协议变更导致功能中断的可能 |

| **速率限制** | 高频操作可能触发`RATE_LIMITED`，大文件夹批量操作需控制并发 |

适合人群

• 个人用户：需要自动化备份本地资料到Weiyun、定期清理云盘空间的QQ/微信生态用户
• 小型团队：依赖微云分享链接进行文档分发的轻量协作场景（需配合专用账号隔离风险）
• 运维脚本：需要集成云存储操作到现有Python工作流的技术用户

常规风险缓解建议

1. 账号隔离：严禁使用绑定银行卡、敏感工作资料的QQ主号登录，应注册专用Weiyun账号
2. 凭证生命周期管理：操作完成后立即执行rm cookies.json，怀疑泄露时全网注销重登
3. 操作审计：关键删除/覆盖操作前先用list确认目标路径，避免通配符误匹配
4. 网络环境：避免在公共WiFi下执行登录，防止Cookie在传输层被截获

核心用法

weiyun-management 是一套面向腾讯微云的命令行云存储管理工具，提供完整的文件生命周期管理能力。支持两种认证方式：二维码扫码登录（推荐）和浏览器 Cookies 导入。登录后 session 凭证持久化至本地 cookies.json，后续所有操作均基于此凭证调用微云官方 API。

主要功能模块

| 模块 | 覆盖能力 |

|------|---------|

| **认证** | QR 码登录、Cookies 登录 |

| **文件管理** | 列出、上传/下载（单文件/文件夹）、删除、移动、复制、重命名、创建目录、搜索 |

| **分享管理** | 创建分享（支持密码/有效期）、取消分享、列出分享 |

| **空间管理** | 存储容量查询、回收站管理、文件恢复、清空回收站 |

显著优点

1. 功能完整度高：覆盖微云核心 API 的全部能力，包括秒传检测、分片上传、大文件断点续传等企业级特性
2. 三层纵深防护：CLI 交互确认层 → AI 代理策略约束层 → 主机文件权限层，形成递进式安全架构
3. 透明可审计：MIT 协议开源，代码结构清晰，安全认证报告公开可查（CLS-2026-0518-WEYUN-1A7F3）
4. 依赖精简可信：仅依赖 requests、qrcode、tabulate 三个主流库，无供应链攻击面

潜在缺点与局限性

| 维度 | 说明 |

|------|------|

| **账号风险** | Session cookies 等效于密码，文件权限 0600 仅能防御同系统普通用户，无法抵御 root 或容器逃逸 |

| **有效期限制** | Cookies 约 24 小时过期，需频繁重新认证，不适合长期自动化场景 |

| **平台绑定** | 仅支持腾讯微云，无多云抽象层；分享链接格式为微云专有，迁移成本高 |

| **无加密增强** | 文件内容依赖 HTTPS 传输加密，无客户端端到端加密能力 |

| **个人维护** | T3 来源（个人开发者），无企业 SLA 保障，长期维护连续性存疑 |

适合人群

• 需要在脚本/CI 中临时与微云交互的开发者
• 偏好命令行效率、反感官方客户端臃肿界面的进阶用户
• 已启用 QQ 两步验证、使用非主账号隔离风险的隐私敏感型用户
• 不适合：企业核心数据资产托管、24×7 自动化备份、多用户共享服务器环境

常规风险

1. 凭证泄露风险：cookies.json 若被备份至 iCloud/Dropbox/Git，将造成账号完全接管
2. 误操作不可逆：delete --permanent 和 clear-recycle --confirm 无回收机制，CLI 确认可被 --yes 绕过
3. AI 代理滥用：恶意提示词可能诱导代理批量删除文件或创建公开分享，需严格遵守 safeguards 中的 (a)-(e) 约束
4. 供应链单点：腾讯微云 API 策略变更（如强制扫码频率限制）将直接导致工具失效