核心功能
Yatta! Skill 是面向个人生产力的高级任务管理系统集成工具,通过 REST API 实现完整的工作流自动化。核心能力覆盖:
任务管理:创建、更新、归档任务,支持优先级、工作量点、复杂度标签、截止日期等丰富属性;批量操作与递归任务支持。
项目与上下文:多项目工作流管理,@context 标签系统实现场景化任务组织。
时间管理:内置时间追踪、连续完成 streaks、日历订阅同步(iCal)。
优先级框架:原生支持艾森豪威尔矩阵(紧急/重要四象限),辅助决策。
委派与跟进:完整的委托任务生命周期管理,自动化跟进提醒。
容量规划:实时工作量计算,防止过度承诺,可视化利用率。
AI 洞察:内置分析端点提供趋势预测和效率建议。
显著优点
- 功能全面:单一技能覆盖 GTD、敏捷、艾森豪威尔等多种方法论
- 安全加固:v0.2.0 彻底消除 v0.1.3 的 RCE 漏洞(shell/JSON 注入),全量采用
jq -n --arg安全模式与 URL 编码 - 端点验证:内置 SSL 证书校验与域名归属确认机制
- 显式调用策略:
disable-model-invocation: true强制人工确认,杜绝自主破坏性操作 - 批量效率:支持多任务批量更新,减少 API 调用次数
- 实时同步:变更即时反映在 Yatta! Web UI
潜在局限
- API 密钥权限过大:无只读 scope,单一密钥即拥有完整 CRUD 权限
- 托管端点透明度:当前使用 Supabase 直接 URL(
zunahvofybvxpptjkwxk.supabase.co),非品牌域名,需用户手动验证归属 - 破坏性操作不可逆:删除为永久操作,归档虽可恢复但需额外步骤
- 速率限制:100 请求/分钟可能限制大规模批处理
- 手动调用门槛:安全策略要求用户明确指令,无法完全自动化
适合人群
- 重度任务管理用户,已使用或计划采用 Yatta! 平台
- 需要 CLI/脚本自动化工作流的技术用户
- 团队协作中负责项目统筹的管理者
- 对数据安全有认知、能妥善保管 API 密钥的用户
风险与建议
| 风险等级 | 事项 | 缓解措施 |
|---------|------|---------|
| 🔴 高 | API 密钥泄露即账户完全暴露 | 使用 1Password CLI 或专用密钥管理服务,90 天轮换 |
| 🟡 中 | 端点真实性需人工确认 | 执行 `openssl s_client` 校验证书,核对 `yattadone.com` 官方文档 |
| 🟡 中 | 批处理误操作影响面广 | 先在测试项目验证,确认后再执行生产数据 |
| 🟢 低 | 速率限制中断流程 | 实现指数退避重试,或拆分批量请求 |
版本建议:强烈建议使用 v0.2.0+,彻底禁用 v0.1.3 及以下版本。