hackmd

核心用法

该Skill通过与HackMD官方CLI工具（hackmd-cli）深度集成，为用户提供完整的文档生命周期管理能力。用户可通过简单的命令调用实现个人笔记和团队工作区文档的读取、创建、更新与删除操作。特别值得关注的是其内置的变更追踪（Change Tracking）机制，通过hackmd-track.js脚本监控文档的lastChangedAt时间戳，能够智能检测自上次检查以来的内容修改，仅在有变更时输出内容，大幅提升轮询效率。

显著优点

安全性是该Skill的突出优势。代码层面完全采用Node.js标准库实现，零第三方npm依赖，杜绝了供应链攻击风险。所有API通信均通过HTTPS加密传输，认证Token通过环境变量HMD_API_ACCESS_TOKEN动态获取，源码中无硬编码敏感信息。功能设计上支持个人与团队双工作区模式，满足不同规模的协作需求；变更追踪功能采用本地JSON文件（.hackmd/tracked-notes.json）存储状态，既保证了检测效率又避免了对HackMD API的过度调用。

潜在缺点与局限性

该Skill存在几个需要注意的约束条件。首先，它依赖外部二进制工具hackmd-cli，用户需提前执行npm install -g @hackmd/hackmd-cli进行全局安装，这增加了部署复杂度。其次，HackMD平台对API调用有严格限制：每5分钟100次调用，免费版每月2000次（Prime计划10000次），高频同步场景可能触发限流。此外，变更追踪状态文件存储在当前工作目录，若在多目录环境下切换执行路径，可能导致追踪状态丢失或重复检测。

适合的目标群体

该Skill特别适合以下用户群体：HackMD重度使用者需要自动化文档备份或同步；团队协作场景中负责文档维护的管理员，需要监控多人编辑的知识库变更；开发者构建基于Markdown的文档工作流，需要将HackMD内容集成到CI/CD管道或自动化报告系统中。对于需要实时同步且对API速率敏感的企业级应用，建议评估Prime计划或本地缓存策略。

使用风险与注意事项

主要风险集中在API Token管理和本地存储两个方面。HMD_API_ACCESS_TOKEN作为访问凭证需妥善保管，避免提交到版本控制或日志系统；建议在服务器环境使用密钥管理系统（如AWS Secrets Manager或Docker Secrets）。变更追踪功能创建的.hackmd/目录需要适当的文件权限设置，防止多用户环境下的状态文件被篡改。此外，虽然代码中导入了child_process.execSync但未实际使用，建议后续版本移除该导入以消除潜在的安全审计疑虑。