signal-cli

signal-cli 是一款专为 macOS 设计的 Signal 通讯自动化技能，通过调用本地安装的 signal-cli 二进制文件，实现命令行方式的 Signal 消息发送与联系人管理。该技能以隐私保护为核心设计理念，所有数据处理均在本地完成，不上传至任何第三方服务器，特别适合注重通讯安全的用户群体。

核心用法围绕 signal-cli 的命令行接口展开，提供账户发现、联系人列表查询、模糊匹配查找以及消息发送四大功能模块。用户可通过 listAccounts 查看已配置的 Signal 账户，使用 JSON 格式导出联系人列表，或利用内置的 Python 脚本实现智能联系人检索。发送消息时，技能支持通过姓名、昵称或手机号（E.164 格式）指定收件人，自动解析并映射到实际号码，同时支持文本消息和附件传输。整个交互过程遵循严格的安全检查清单，确保在发送敏感信息前获得用户明确确认。

该技能的显著优点在于其卓越的安全架构和隐私保护能力。首先，代码实现规范严谨，采用参数化方式调用 subprocess，彻底杜绝命令注入风险，且全程不涉及 eval/exec 等危险函数。其次，零第三方依赖设计，仅依靠 Python 标准库和本地 signal-cli，极大降低了供应链攻击面。更重要的是，SKILL.md 文档中明确嵌入安全检查清单，强制要求用户确认收件人身份和消息内容，有效防止误发和敏感信息泄露。

然而，该技能也存在一定局限性。作为 T3 来源的社区项目，其长期维护性和代码审计深度不及企业级产品。功能上严格依赖本地 signal-cli 的预安装和正确配置，对未安装该工具的用户无法直接使用。此外，当前版本仅针对 macOS 优化，跨平台支持有限。模糊匹配算法在处理大量联系人时可能存在性能瓶颈，且多匹配场景需要人工干预选择。

此技能最适合需要在 macOS 环境下进行 Signal 自动化通讯的开发者、隐私意识强烈的个人用户，以及希望通过脚本批量管理 Signal 联系人或发送通知的系统管理员。对于已建立 signal-cli 工作流的技术用户，该技能能显著提升通讯效率。

使用风险主要包括对外部二进制文件的依赖——需确保 signal-cli 来源可信且未被篡改；subprocess 调用带来的潜在系统交互风险；以及本地 Signal 联系人数据的访问权限。建议用户仅从官方渠道安装 signal-cli，并定期检查附件路径的有效性，避免路径遍历攻击。尽管代码本身通过 A 级安全认证，但用户仍需警惕社交工程攻击和误操作导致的消息错发。