核心功能与用法
Juejin Skills 是一套面向掘金技术社区(juejin.cn)的自动化操作技能集,通过自然语言指令驱动,主要提供三大核心能力:
1. 热门文章排行榜(只读查询)
- 支持获取掘金全部分类列表(前端、后端、Android、iOS、人工智能等)
- 可按分类、时间维度(3天/7天/30天/历史)查询热门文章排行
- 完全只读操作,无需登录,无副作用
2. Markdown 文章发布(需登录态)
- 通过 Playwright 浏览器自动化完成掘金登录,获取会话 Cookie
- 支持读取本地
.md文件或直接粘贴 Markdown 正文 - 默认仅创建草稿(
save_draft_only=True),公开发布需双重确认 - 支持设置文章分类、标签、摘要、封面图等元数据
3. 文章下载(支持单篇/批量)
- 单篇下载:通过文章 URL 下载并转换为标准 Markdown 格式
- 批量下载:支持下载指定作者的文章列表,但受硬上限限制
- 自动保留文章元数据(标题、作者、发布时间、标签等)
- 图片可选下载,但严格限制在掘金官方图床域名
---
显著优点
安全性设计突出:
- 发布安全:默认草稿模式,公开发布需
save_draft_only=False+allow_public_publish=True双重开关,CLI 层还需环境变量 + 交互式确认 - 路径校验:文件读取/写入均经过
os.path.realpath解析,抵御符号链接逃逸、..路径遍历、伪造后缀绕过 - 批量控制:
download_user_articles()需显式confirm_bulk=True,max_count默认 20、硬上限 50 - Cookie 管理:会话凭证保存于
~/.juejin_cookie.json,权限0600,用户可随时删除撤销
权限边界清晰:
- 网络访问严格限制在
juejin.cn和api.juejin.cn - 文件读取仅接受当前工作目录下的
.md文件,大小 ≤ 2 MiB,敏感路径黑名单 - 文件写入仅限
./output/目录(可配置)和凭证文件
激活策略严谨:
- 采取"严格字面匹配"策略,必须同时满足:含"掘金"/
juejin.cn字样、动作在窄定义场景内、写操作需用户亲自提供具体参数
---
潜在缺点与局限性
使用门槛:
- 需 Python ≥ 3.9 + Playwright 环境,首次使用需安装浏览器依赖
- 登录流程需人工在浏览器中完成扫码或密码输入
功能边界:
- 仅支持掘金官方平台,无法泛化到其他技术社区
- 图片下载仅限掘金官方图床域名,外链图片自动跳过
- 批量下载有 50 篇硬上限,不适合大规模归档需求
依赖风险:
- Cookie 有效期依赖掘金平台策略,过期需重新登录
- Playwright 浏览器自动化可能受平台反爬策略影响
---
适合人群
- 技术内容创作者:需要批量管理掘金文章、快速发布草稿的技术博主
- 开发者/运维人员:需要定期备份自己或关注作者的文章到本地
- 内容运营团队:需要监控掘金热门技术趋势、分析竞品内容的团队
- AI Agent 集成者:希望在自己的 Agent 中安全集成掘金操作能力的开发者
---
常规风险
| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| 账号凭证泄露 | Cookie 文件若被他人获取可导致账号被盗用 | 文件权限 `0600`、`.gitignore` 排除、使用完毕手动删除 |
| 误操作公开发布 | 意外将草稿公开发布 | 默认草稿模式 + 双重开关 + 交互式确认 |
| 路径遍历攻击 | 恶意构造的路径可能逃逸到敏感目录 | `realpath` 解析 + 前缀白名单 + 敏感路径黑名单 |
| SSRF/越站请求 | 图片下载或 API 调用可能被滥用 | 严格域名白名单、拒绝非掘金域名 |
| 批量下载滥用 | 大规模抓取可能触发平台风控 | `confirm_bulk` 显式确认 + 50 篇硬上限 |