zotero

核心用法

Zotero Skill 通过官方 pyzotero 库提供对 Zotero 个人与群组图书馆的完整编程访问能力。用户配置 ZOTERO_API_KEY 等环境变量后，可通过自然语言指令执行文献检索（支持标题、作者、标签、年份、全文等多维度查询）、创建新条目（期刊文章、书籍、会议论文等类型）、更新元数据、添加或编辑笔记，以及上传 PDF 附件等操作。技能支持批量操作与干运行模式，所有删除操作需显式确认，确保数据安全。

显著优点

该技能具备全面的文献管理能力，覆盖学术工作流的完整生命周期：从文献捕获、元数据整理到笔记批注与附件管理。采用环境变量存储 API 密钥的安全实践，避免凭证泄露风险；敏感操作强制要求确认标志，有效防止误删数据。基于 Zotero 官方推荐的 pyzotero 库开发，API 兼容性与长期维护有保障。支持个人与群组图书馆双模式，满足协作研究需求。

潜在缺点与局限性

当前版本存在路径验证不足的问题，文件上传功能未对用户输入路径进行规范化检查，存在路径遍历风险。技能需要 Zotero API 密钥具备完全读写权限，若密钥泄露可能导致文献库被恶意篡改或删除。此外，代码尚未实现自动速率限制重试逻辑，在高频调用场景下可能触发 API 限制。PDF 内部批注与高亮同步属于高级功能，当前版本暂不支持。

适合的目标群体

主要面向学术研究者、高校师生、研究生及知识管理重度用户。特别适合需要自动化文献整理、批量元数据更新、跨设备文献同步的研究场景。对于使用 Zotero 进行团队协作的课题组，该技能可大幅提升群组图书馆管理效率。同时也适合需要将自己的文献库与其他自动化工作流（如笔记软件、任务管理工具）集成的效率工具爱好者。

使用风险

数据安全风险：API 密钥拥有完全读写权限，一旦泄露可能导致学术成果被篡改或删除，建议定期轮换密钥并遵循最小权限原则。文件系统风险：上传功能的路径验证不足，恶意构造的路径参数可能读取系统敏感文件。操作风险：虽然删除操作需要确认，但批量更新元数据等写操作仍可能因指令歧义导致数据污染。依赖风险：功能依赖 Zotero 官方 API 的可用性与速率限制，网络波动可能影响同步稳定性。

核心功能

Zotero Skill 为用户提供完整的学术文献库管理能力，基于 Zotero 官方 API 实现个人与群组库的安全访问。核心功能覆盖文献检索、元数据管理、笔记编辑与附件处理四大模块：

• 智能检索：支持按标题、作者、标签、年份、全文内容进行单一或组合查询，支持排序与分页
• 文献管理：创建/更新/删除各类条目（期刊论文、书籍、会议论文等），包含标准 Zotero 元数据字段
• 笔记系统：添加、编辑、删除条目级笔记（PDF 内部高亮批注暂不支持）
• 附件同步：上传本地 PDF 或链接外部 URL，自动维护父子条目关系

显著优点

1. 官方 API 保障：直接对接 api.zotero.org，数据完整性有官方背书
2. 安全设计：依赖 pyzotero 官方 SDK，无危险函数调用；所有写操作需 --yes 显式确认，批量删除默认dry-run
3. 隐私保护：日志脱敏处理，API 密钥与 PDF 内容明确排除记录
4. 灵活配置：支持环境变量与命令行参数双重凭证配置，适应不同部署场景
5. 批量操作：支持条目批量创建、更新与删除，附确认机制防误操作

潜在局限

• 功能边界：PDF 内部高亮批注的解析与同步属于高级扩展，初始版本未包含
• 环境依赖：必须配置 ZOTERO_API_KEY，对新手有一定门槛
• 速率限制：受 Zotero API 频率限制，大规模批量操作需控制节奏
• 确认机制待完善：文件上传功能目前缺少类似删除操作的强制确认提示

适用人群

• 学术研究人员与研究生：需要自动化管理大型文献库
• 团队协作场景：共享群组库的创建与维护
• 文献综述工作者：频繁进行主题检索与标签整理
• 企业知识管理：需将 Zotero 集成至内部工作流

常规风险

| 风险类型 | 说明 | 缓解措施 |

|---------|------|---------|

| 凭证泄露 | 环境变量配置不当可能导致 API 密钥暴露 | 配合系统密钥管理工具使用，避免明文导出 |

| 误操作数据丢失 | 批量删除或更新可能影响大量条目 | 强制 `--yes` 确认 + dry-run 预演机制 |

| 敏感文件上传 | PDF 可能包含个人隐私信息 | 上传前人工确认，建议添加批量上传确认提示 |

| API 权限问题 | 密钥权限不足或过期导致操作失败 | 文档提示常见错误码（401/403/429）处理方案 |

安全评级 A（78分），来源可信度 T2，符合企业级使用要求。