skills/EasonC13/overleaf

overleaf

📝 LaTeX 学术写作云端管家

基于已审计 pyoverleaf 的 Overleaf 项目管理工具,支持本地与云端 LaTeX 文件双向同步,让学术写作更高效安全。

收藏
9.2k
安装
1.9k
版本
v1.1.1
CLS 安全性认证2026-05-01
点击查看完整报告 >

使用说明

Overleaf Skill 是一款专为学术写作场景设计的本地-云端同步工具,通过封装 pyoverleaf CLI 实现与 Overleaf 平台的无缝集成。该工具允许用户直接在本地开发环境中管理云端 LaTeX 项目,支持文件读写、目录管理、项目下载等完整操作,解决了学术工作者在本地 IDE 与在线协作平台间频繁切换的痛点。

核心用法围绕浏览器 Cookie 认证机制展开。用户需先在 Chrome 或 Firefox 中登录 Overleaf 账户,并在首次使用时授权 keychain 访问权限以读取认证信息。基础命令涵盖 pyoverleaf ls 列出项目、pyoverleaf read 获取远程文件内容、pyoverleaf write 推送本地修改,以及 pyoverleaf download-project 下载完整项目备份。对于批量上传场景,官方推荐使用 Python API 而非 CLI,这不仅能规避 websocket 稳定性问题,还能完整保留 Overleaf 的版本历史功能,使每一次修改都可追溯、可回滚。

显著优点体现在安全性与操作可控性。底层依赖的 pyoverleaf v0.1.7 经过代码审计,确认不存在 eval/exec 等危险函数,也无命令注入漏洞。工具设计遵循"显式优于隐式"原则,特别是针对推送操作设置了严格的确认流程,强制要求用户先通过 diff 比较本地与远程差异,获得明确授权后才执行覆盖,有效防止自动化流程中的误操作风险。同时支持自托管 Overleaf 实例配置,满足企业或机构的私有化部署需求。

潜在缺点主要涉及来源可信度与技术限制。该 Skill 依赖社区维护的 T3 级开源项目,尽管当前版本已审计为安全,但缺乏 T1/T2 级别组织的长期维护背书。macOS 用户必须授予"始终允许"级别的 keychain 访问权限,这在某些高安全级别的企业环境中可能受限。此外,CLI 的 write 命令存在 websocket 连接不稳定问题,大文件上传时可能出现中断,需要改用 Python API 实现可靠传输。

适合的目标群体主要为需要频繁在本地专业编辑器与 Overleaf 云端环境间协作的学术研究者、研究生以及技术文档工程师。特别适合习惯使用 Vim、Emacs 或 VS Code 编写 LaTeX 但需要利用 Overleaf 协作功能的用户,以及需要离线编辑后批量同步的工作场景。

使用风险方面,虽然代码本身经过安全审计,但用户需注意浏览器 cookie 的保密性,避免在共享计算机上保存登录状态。工具具备直接覆盖远程文件的能力,尽管有 diff 确认机制,但在编写自动化脚本时若绕过确认流程仍可能导致数据丢失。此外,依赖外部 Python 包意味着需自行承担供应链风险,建议明确锁定 pyoverleaf==0.1.7 版本安装。网络连接稳定性也会影响同步体验,特别是在处理包含大量图片的大型项目时。

安全解读

核心用法

Overleaf Skill 是一个基于 pyoverleaf 的命令行桥接工具,让开发者无需离开终端即可管理云端 LaTeX 项目。其核心能力包括:

1. 双向文件操作pyoverleaf read/write 直接读写 .tex 文件,download-project 一键打包下载完整项目
2. 浏览器 Cookie 认证:无需用户名密码,复用 Chrome/Firefox 登录状态,首次运行需授权钥匙串访问
3. 本地-云端同步:支持将本地修改推送至 Overleaf,同时保留版本历史,便于回滚审查

显著优点

  • 零配置认证:依赖系统浏览器登录态,避免 API Key 管理
  • 版本历史保护:Python API 直接覆写文件时,Overleaf 的历史记录功能依然生效,用户可逐行对比 AI 修改
  • 自托管支持:通过 PYOVERLEAF_HOST 环境变量兼容企业私有部署
  • 安全审计透明:Skill 本身纯 Markdown 文档,依赖的 pyoverleaf 经代码审计(v0.1.7),无恶意行为

潜在局限

  • macOS 钥匙串依赖:首次使用必须人工点击"始终允许"钥匙串访问,自动化流程会被阻断
  • CLI 写入稳定性:官方文档明确标注 write 命令存在 WebSocket 问题,生产环境建议改用 Python API
  • 单向推送限制:根据 Eason 的工作流约束,Agent 禁止自主推送到 Overleaf,必须经用户逐次授权
  • 浏览器绑定:若用户习惯 Safari 或未保持登录状态,需切换浏览器重新登录

适合人群

  • 需要本地 Git 管理 + Overleaf 协作的科研人员
  • 频繁使用 AI 辅助写作、需人工审查后定点推送的学术作者
  • 企业内网部署自托管 Overleaf 的技术团队

常规风险

| 风险点 | 说明 | 缓解措施 |
|--------|------|----------|
| Cookie 泄露 | pyoverleaf 需读取浏览器存储的认证 Cookie | 仅读取 Overleaf 域名,不传输至第三方;建议配合浏览器密码管理器 |
| 意外覆盖 | 直接 `write` 可能覆盖他人并发修改 | 强制先 `download-project` → `diff` 对比 → 用户确认后再推送 |
| 钥匙串疲劳攻击 | 恶意工具可能滥用钥匙串授权 | 本 Skill 经 T2 来源认证,但用户仍需警惕假冒 pyoverleaf 的钓鱼包 |
| 网络隔离环境 | 无法访问 overleaf.com 时完全失效 | 自托管用户需提前配置 `PYOVERLEAF_HOST` |
docseducation-researchautomationproductivitylatex

overleaf 内容

scripts文件夹
手动下载zip · 2.8 kB
sync-to-overleaf.shtext/x-shellscript
请选择文件