x-api

核心用法

x-api 是一款专为 X（原 Twitter）平台设计的官方 API 发推工具，采用 OAuth 1.0a 认证协议。用户需先在 X Developer Portal 创建应用并获取 API Key、API Secret、Access Token 及 Access Token Secret 四组凭证，通过环境变量或 ~/.clawdbot/secrets/x-api.json 配置文件完成初始化。安装 twitter-api-v2 依赖后，执行 x-post "推文内容" 即可发布推文，支持多行文本，成功时返回推文 URL。

该技能明确区分读写场景：写操作（发推）必须使用官方 API 以规避 Cookie 方案的机器人检测；读操作（时间线、搜索、提及）则推荐使用免费的 bird CLI 工具，形成成本与功能的 optimal 组合。

显著优点

1. 可靠性保障：绕过 Cookie 登录面临的速率限制与 bot 检测封锁，基于官方 API 的调用稳定性显著优于非官方方案
2. 成本可控：免费 tier 提供 1,500 条/月的发布额度，满足个人开发者及轻量级运营需求
3. 凭证管理灵活：支持环境变量与配置文件双模式，便于 CI/CD 集成与本地开发切换
4. 代码透明度高：功能单一、逻辑清晰，主脚本仅 50 余行，易于安全审计
5. 生态协同：与 bird CLI 形成读写分离的最佳实践，降低整体使用成本

潜在缺点与局限性

1. 成本门槛：Basic tier 需 $100/月，中高频率商业用途成本陡增；免费额度耗尽后需手动充值 credits
2. 配置复杂度：OAuth 1.0a 四密钥体系较 OAuth 2.0 繁琐，新手易在权限设置（Read and Write）环节出错
3. 功能单一：仅支持发推，无媒体上传、线程发布、定时推文等进阶功能
4. 平台依赖风险：X API 政策与定价频繁调整，免费 tier 存在进一步收缩可能
5. 错误处理简陋：依赖 SDK 原生错误，402/401 等状态码需用户自行排查

适合的目标群体

• 个人开发者：需要自动化发布项目更新、博客推送的技术博主
• 小型运营团队：社交媒体内容分发的轻量级自动化需求
• 开源项目维护者：Release 通知、Changelog 同步等场景
• 数据分析师：结合 bird 实现"采集-分析-发布"的闭环工作流

不适合：需要批量媒体发布、多账号矩阵运营、高频率商业营销的大型企业场景。

使用风险

1. 凭证泄露风险：OAuth 凭证存储于本地文件，若权限设置不当（未设 600）或误提交至版本控制，可能导致账号被恶意利用发推
2. 供应链风险：twitter-api-v2 虽为社区主流库，但仍需关注其安全更新与维护状态
3. 平台政策风险：X 对自动化账号的监管趋严，异常发推频率可能触发账号审查
4. 额度耗尽风险：免费 tier 无预警机制，突发流量可能导致服务中断
5. 功能边界风险：该技能无内置内容审核，用户需自行确保推文合规，避免账号封禁