zotero

核心用法

Zotero Skill 通过官方 pyzotero 库提供对 Zotero 个人与群组图书馆的完整编程访问能力。用户配置 ZOTERO_API_KEY 等环境变量后，可通过自然语言指令执行文献检索（支持标题、作者、标签、年份、全文等多维度查询）、创建新条目（期刊文章、书籍、会议论文等类型）、更新元数据、添加或编辑笔记，以及上传 PDF 附件等操作。技能支持批量操作与干运行模式，所有删除操作需显式确认，确保数据安全。

显著优点

该技能具备全面的文献管理能力，覆盖学术工作流的完整生命周期：从文献捕获、元数据整理到笔记批注与附件管理。采用环境变量存储 API 密钥的安全实践，避免凭证泄露风险；敏感操作强制要求确认标志，有效防止误删数据。基于 Zotero 官方推荐的 pyzotero 库开发，API 兼容性与长期维护有保障。支持个人与群组图书馆双模式，满足协作研究需求。

潜在缺点与局限性

当前版本存在路径验证不足的问题，文件上传功能未对用户输入路径进行规范化检查，存在路径遍历风险。技能需要 Zotero API 密钥具备完全读写权限，若密钥泄露可能导致文献库被恶意篡改或删除。此外，代码尚未实现自动速率限制重试逻辑，在高频调用场景下可能触发 API 限制。PDF 内部批注与高亮同步属于高级功能，当前版本暂不支持。

适合的目标群体

主要面向学术研究者、高校师生、研究生及知识管理重度用户。特别适合需要自动化文献整理、批量元数据更新、跨设备文献同步的研究场景。对于使用 Zotero 进行团队协作的课题组，该技能可大幅提升群组图书馆管理效率。同时也适合需要将自己的文献库与其他自动化工作流（如笔记软件、任务管理工具）集成的效率工具爱好者。

使用风险

数据安全风险：API 密钥拥有完全读写权限，一旦泄露可能导致学术成果被篡改或删除，建议定期轮换密钥并遵循最小权限原则。文件系统风险：上传功能的路径验证不足，恶意构造的路径参数可能读取系统敏感文件。操作风险：虽然删除操作需要确认，但批量更新元数据等写操作仍可能因指令歧义导致数据污染。依赖风险：功能依赖 Zotero 官方 API 的可用性与速率限制，网络波动可能影响同步稳定性。