核心功能
Juejin Skills 是面向掘金技术社区(juejin.cn)的自动化操作技能,提供三大核心能力:
1. 热门文章排行榜(只读):获取全站或指定分类(前端、后端、AI等)的热门文章,支持按3天/7天/30天/历史时间维度筛选趋势。
2. Markdown文章发布(需登录态):通过 Playwright 浏览器登录获取 Cookie,将本地 .md 文件发布为草稿;公开发布需多重显式确认(API层参数 + CLI层环境变量 + 交互式确认)。
3. 文章下载(只读+本地写入):通过文章 URL 或用户 ID 下载单篇/批量文章,转换为标准 Markdown 格式,可选保留图片(仅限官方图床域名)。
显著优点
- 严格的权限最小化:网络仅访问 juejin.cn 域名,图片下载有白名单限制(*.byteimg.com),防止 SSRF。
- 多层发布确认机制:默认仅创建草稿,公开发布需
save_draft_only=False+allow_public_publish=True+ 命令行开关 + 环境变量 + 交互式确认五重关卡。 - 文件系统沙箱:读取路径严格限制在当前工作目录或
$JUEJIN_MD_ROOT下,禁止访问/etc、~/.ssh等敏感路径,符号链接和路径遍历攻击被os.path.realpath解析后拦截。 - 凭证隔离:Cookie 以 0600 权限存储于
~/.juejin_cookie.json,用户可随时删除撤销,仓库已默认排除该文件。
潜在局限与风险
- Cookie 明文存储风险:虽然文件权限为 0600,但仍为明文 JSON,共享机器或 CI 环境中存在泄露风险。
- 浏览器自动化依赖:登录需本地 Chromium,无头模式可能受环境限制,且首次运行需下载浏览器二进制文件。
- API 稳定性:依赖掘金未公开文档化的内部 API,存在接口变更导致功能失效的可能。
- 图片下载限制:非官方图床图片自动跳过,可能导致下载文章图片不完整。
适合人群
- 需要在掘金批量管理内容的开发者、技术博主
- 希望自动化发布工作流但重视安全确认机制的团队
- 需要离线备份掘金文章的个人用户
常规风险提示
⚠️ 切勿在共享服务器或 CI 容器中使用(Cookie 即账号登录态);使用后立即执行 rm ~/.juejin_cookie.json;避免将敏感路径传入本技能。