skills/baanish/putio

putio

⛵ 云端离线下载智能管家

基于开源 kaput CLI 的 put.io 云存储管理工具,支持磁力链接/URL 传输、文件搜索与状态监控,采用 OAuth 设备码认证保障账户安全。

收藏
3.3k
安装
1.3k
版本
v1.0.0
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

put.io skill 是一个围绕非官方 kaput CLI 构建的 put.io 云存储账户管理工具,主要面向需要远程管理 BT/磁力下载任务的用户。核心工作流包括:通过 kaput login 完成 OAuth 设备码认证后,使用封装脚本执行四大操作——add_transfer.sh 添加磁力链接或种子 URL 到下载队列、、list_transfers.sh 查看传输进度、、search_files.sh 检索云端文件、、status.sh 监控账户与传输状态。该 skill 特别设计了与 chill-institute 的协同场景:前者负责发起下载请求,后者负责验证和监控实际到货情况。

显著优点

1. 安全认证机制:采用 OAuth 2.0 设备码流程,避免密码直接暴露,令牌本地存储不经过 skill 代码处理。
2. 代码质量过硬:所有 Bash 脚本强制启用 set -euo pipefail,错误处理严谨;通过 _kaput.sh 核心库统一解析 CLI 路径,避免重复代码。
3. 隐私保护设计status.sh 默认隐藏账户敏感信息,仅当显式设置 SHOW_ACCOUNT=1 时才展示,降低截图/日志泄露风险。
4. 功能边界清晰:作为纯包装器不直接处理网络请求,所有 API 调用委托给 kaput CLI,责任分离明确。
5. 开源可审计:依赖的 kaput CLI 为 GitHub 开源项目,源码公开可查,无黑盒操作。

潜在缺点与局限性

1. 外部依赖较重:需用户自行安装 Rust 工具链并通过 cargo 编译安装 kaput,对非技术用户门槛较高;若 kaput 未安装或版本不兼容,skill 完全失效。
2. 输入验证有限:URL 和搜索查询直接透传给 kaput,skill 层未做协议格式校验,依赖下游工具的健壮性。
3. 平台锁定:仅支持 put.io 单一服务,无法迁移到其他云存储或自托管方案。
4. 功能深度受限:仅暴露 kaput 的基础功能,高级用法(如批量操作、RSS 订阅)需直接调用原始 CLI。

适合的目标群体

  • 远程下载爱好者:需要离线下载 BT/磁力资源到云端,再同步到本地 NAS 或流媒体设备的用户。
  • 自动化工作流构建者:希望将 put.io 集成到更复杂的自动化链条(如配合 chill-institute 实现"请求-验证"闭环)的进阶用户。
  • 技术型云存储用户:熟悉命令行操作、具备 Rust/Cargo 环境配置能力的开发者或运维人员。

使用风险

1. 依赖项可用性风险:kaput CLI 的维护状态、put.io API 的变更均可能导致 skill 突然失效,需关注上游更新。
2. 令牌泄露风险:虽然 skill 不直接处理凭证,但 kaput 本地存储的 OAuth 令牌若被复制或备份同步到不安全位置,可能导致账户被盗用。
3. 输入注入隐患:尽管当前风险较低,但直接将用户输入拼接给外部命令的架构,理论上存在未来被绕过或滥用的可能。
4. 网络与合规风险:put.io 服务本身涉及版权敏感内容的存储与传输,用户需自行承担所在司法管辖区的合规责任。

安全解读

核心功能与用法

put.io skill 是一个命令行封装工具,通过 Rust 编写的 kaput CLI 与 put.io 云存储服务交互。它并非独立的 API 客户端,而是将 kaput 的命令封装为结构化脚本,便于自动化调用和监控。

核心操作流程:
1. 认证:使用 kaput login 启动 device-code OAuth 流程,在浏览器完成授权后本地存储 Token
2. 添加下载:支持 magnet 链接、torrent URL 或普通 HTTP 链接,通过 add_transfer.sh 提交到 put.io 服务器
3. 状态监控list_transfers.shstatus.sh 实时查看下载进度
4. 文件管理search_files.sh 在云存储中检索已完成的文件

与 chill-institute 的协同:该组合设计巧妙——chill.institute 负责 "发起" 下载任务(如从 RSS 自动抓取),put.io skill 负责 "验证和监控" 实际传输状态,形成完整的离线下载闭环。

---

显著优点

  • 零依赖封装:6 个 Shell 脚本仅 171 行代码,结构清晰,无第三方库依赖
  • 安全认证机制:采用 OAuth 2.0 device-code 流程,避免密码暴露;Token 由 kaput CLI 本地管理,skill 不直接接触凭证
  • 防御性编程:脚本统一使用 set -euo pipefail,错误处理稳健
  • 最小权限设计:仅通过 CLI 调用 put.io API,无直接系统命令执行或动态代码加载

---

局限性与风险

功能性局限:

  • 完全依赖外部 kaput CLI,若该工具停止维护或出现兼容性问题,skill 将失效
  • put.io 为付费服务(云存储+离线下载),需订阅才能使用核心功能
  • 不支持直接文件下载到本地,仅管理云端状态

供应链风险:

  • kaput CLI 由社区维护(非 put.io 官方),通过 Cargo 安装时需信任 crates.io 和编译环境
  • 本地 Token 存储安全取决于用户环境配置,多用户系统需特别注意文件权限

T3 来源考量:

  • 代码托管于个人开发者账号,维护响应速度和长期稳定性存在不确定性

---

适合人群

  • 自动化爱好者:需要将 put.io 集成到现有工作流(如配合 RSS 自动下载)
  • 命令行用户:偏好 CLI 而非 Web 界面管理云存储
  • chill-institute 用户:希望补全 "发起-验证" 下载闭环
  • Rust/Cargo 生态用户:已有 Rust 工具链,安装 kaput 无额外负担

不适合:无 put.io 账号、不熟悉命令行、或需要直接本地文件操作的用户。

---

常规风险提醒

1. Token 泄露风险:虽然 skill 不处理凭证,但 kaput 存储的 Token 文件需设置 chmod 600 权限
2. 下载内容合规:put.io 作为离线下载服务,用户需自行确保下载内容的版权合法性
3. API 变更风险:put.io API 或 kaput CLI 的更新可能破坏现有脚本兼容性
4. 供应链攻击:务必从 cargo install kaput-cli 官方渠道安装,避免第三方预编译二进制

content-mediaautomationcloud-storagedevopsapi

putio 内容

scripts文件夹
手动下载zip · 3.2 kB
_kaput.shtext/x-shellscript
请选择文件