putio

核心用法

put.io skill 是一个围绕非官方 kaput CLI 构建的 put.io 云存储账户管理工具，主要面向需要远程管理 BT/磁力下载任务的用户。核心工作流包括：通过 kaput login 完成 OAuth 设备码认证后，使用封装脚本执行四大操作——add_transfer.sh 添加磁力链接或种子 URL 到下载队列、、list_transfers.sh 查看传输进度、、search_files.sh 检索云端文件、、status.sh 监控账户与传输状态。该 skill 特别设计了与 chill-institute 的协同场景：前者负责发起下载请求，后者负责验证和监控实际到货情况。

显著优点

1. 安全认证机制：采用 OAuth 2.0 设备码流程，避免密码直接暴露，令牌本地存储不经过 skill 代码处理。
2. 代码质量过硬：所有 Bash 脚本强制启用 set -euo pipefail，错误处理严谨；通过 _kaput.sh 核心库统一解析 CLI 路径，避免重复代码。
3. 隐私保护设计：status.sh 默认隐藏账户敏感信息，仅当显式设置 SHOW_ACCOUNT=1 时才展示，降低截图/日志泄露风险。
4. 功能边界清晰：作为纯包装器不直接处理网络请求，所有 API 调用委托给 kaput CLI，责任分离明确。
5. 开源可审计：依赖的 kaput CLI 为 GitHub 开源项目，源码公开可查，无黑盒操作。

潜在缺点与局限性

1. 外部依赖较重：需用户自行安装 Rust 工具链并通过 cargo 编译安装 kaput，对非技术用户门槛较高；若 kaput 未安装或版本不兼容，skill 完全失效。
2. 输入验证有限：URL 和搜索查询直接透传给 kaput，skill 层未做协议格式校验，依赖下游工具的健壮性。
3. 平台锁定：仅支持 put.io 单一服务，无法迁移到其他云存储或自托管方案。
4. 功能深度受限：仅暴露 kaput 的基础功能，高级用法（如批量操作、RSS 订阅）需直接调用原始 CLI。

适合的目标群体

• 远程下载爱好者：需要离线下载 BT/磁力资源到云端，再同步到本地 NAS 或流媒体设备的用户。
• 自动化工作流构建者：希望将 put.io 集成到更复杂的自动化链条（如配合 chill-institute 实现"请求-验证"闭环）的进阶用户。
• 技术型云存储用户：熟悉命令行操作、具备 Rust/Cargo 环境配置能力的开发者或运维人员。

使用风险

1. 依赖项可用性风险：kaput CLI 的维护状态、put.io API 的变更均可能导致 skill 突然失效，需关注上游更新。
2. 令牌泄露风险：虽然 skill 不直接处理凭证，但 kaput 本地存储的 OAuth 令牌若被复制或备份同步到不安全位置，可能导致账户被盗用。
3. 输入注入隐患：尽管当前风险较低，但直接将用户输入拼接给外部命令的架构，理论上存在未来被绕过或滥用的可能。
4. 网络与合规风险：put.io 服务本身涉及版权敏感内容的存储与传输，用户需自行承担所在司法管辖区的合规责任。