Deepseek-V4
Minimax-M2.7
Kimi-k2.6Xurl
通过 xurl(官方 X API CLI)与 X/Twitter 进行交互。用于发布、回复、引用、搜索、时间线、提及、点赞、转发、书签、关注、私信、媒体上传以及原始 v2 端点访问。
技能元数据
| 来源 | 捆绑(默认安装) |
| 路径 | skills/social-media/xurl |
| 版本 | 1.1.1 |
| 作者 | xdevplatform + openclaw + Hermes Agent |
| 许可证 | MIT |
| 平台 | linux, macos |
| 标签 | twitter, x, social-media, xurl, official-api |
参考:完整 SKILL.md
信息
以下是 Hermes 在触发此技能时加载的完整技能定义。这是技能激活时代理看到的指令。
xurl — 通过官方 CLI 访问 X (Twitter) API
xurl 是 X 开发者平台提供的用于 X API 的官方 CLI。它支持常见操作的快捷命令,并支持以类似 curl 的方式原始访问任何 v2 端点。所有命令均将 JSON 输出到 stdout。
使用此技能执行以下操作:
- 发布、回复、引用、删除帖子
- 搜索帖子和读取时间线/提及
- 点赞、转发、加入书签
- 关注、取消关注、屏蔽、静音
- 直接消息
- 媒体上传(图片和视频)
- 原始访问任何 X API v2 端点
- 多应用/多账户工作流
此技能取代了旧的 xitter 技能(后者封装了一个第三方 Python CLI)。xurl 由 X 开发者平台团队维护,支持带有自动刷新功能的 OAuth 2.0 PKCE,并覆盖了大得多的 API 表面。
密钥安全(强制)
在代理/LLM 会话中操作时的关键规则:
- 切勿读取、打印、解析、总结、上传或将
~/.xurl发送到 LLM 上下文。 - 切勿要求用户将凭据/令牌粘贴到聊天中。
- 用户必须在其自己的机器上手动用密钥填充
~/.xurl。 - 切勿在代理会话中推荐或执行包含内联密钥的身份验证命令。
- 切勿在代理会话中使用
--verbose/-v— 这可能会暴露身份验证头/令牌。 - 要验证凭据是否存在,仅使用:
xurl auth status。
代理命令中禁止使用的标志(它们接受内联密钥):
--bearer-token, --consumer-key, --consumer-secret, --access-token, --token-secret, --client-id, --client-secret
应用凭据注册和凭据轮换必须由用户在代理会话之外手动完成。注册凭据后,用户通过 xurl auth oauth2 进行身份验证 — 同样在代理会话之外进行。令牌以 YAML 格式持久保存到 ~/.xurl。每个应用都有隔离的令牌。OAuth 2.0 令牌会自动刷新。
安装
选择一种方法。在 Linux 上,shell 脚本或 go install 是最简单的。
# Shell script (installs to ~/.local/bin, no sudo, works on Linux + macOS)
curl -fsSL https://raw.githubusercontent.com/xdevplatform/xurl/main/install.sh | bash
# Homebrew (macOS)
brew install --cask xdevplatform/tap/xurl
# npm
npm install -g @xdevplatform/xurl
# Go
go install github.com/xdevplatform/xurl@latest
验证:
xurl --help
xurl auth status
如果已安装 xurl 但 auth status 显示没有应用或令牌,则用户需要手动完成身份验证 — 请参阅下一节。
一次性用户设置(用户在代理之外运行这些命令)
这些步骤必须由用户直接执行,而不是由代理执行,因为它们涉及粘贴密钥。引导用户查看此块;不要为他们执行它。
-
在 https://developer.x.com/en/portal/dashboard 创建或打开一个应用
-
将重定向 URI 设置为
http://localhost:8080/callback -
复制应用的 Client ID 和 Client Secret
-
在本地注册应用(用户运行此命令):
xurl auth apps add my-app --client-id YOUR_CLIENT_ID --client-secret YOUR_CLIENT_SECRET -
身份验证(指定
--app以将令牌绑定到您的应用):xurl auth oauth2 --app my-app(这将打开浏览器以进行 OAuth 2.0 PKCE 流程。)
如果 X 在 OAuth 后的
/2/users/me查找中返回UsernameNotFound错误或 403,请显式传递您的句柄(xurl v1.1.0+):xurl auth oauth2 --app my-app YOUR_USERNAME这会将令牌绑定到您的句柄并跳过损坏的
/2/users/me调用。 -
将应用设置为默认值,以便所有命令都使用它:
xurl auth default my-app -
验证:
xurl auth status
xurl whoami
此后,代理可以使用下面的任何命令而无需进一步设置。OAuth 2.0 令牌会自动刷新。
常见陷阱: 如果您在
xurl auth oauth2中省略了--app my-app,OAuth 令牌将保存到内置的default应用配置文件中 — 该配置文件没有 client-id 或 client-secret。即使 OAuth 流程看似成功,命令也会因身份验证错误而失败。如果遇到这种情况,请重新运行xurl auth oauth2 --app my-app和xurl auth default my-app。
快速参考
| 操作 | 命令 |
|---|---|
| 发帖 | xurl post "Hello world!" |
| 回复 | xurl reply POST_ID "Nice post!" |
| 引用 | xurl quote POST_ID "My take" |
| 删除帖子 | xurl delete POST_ID |
| 阅读帖子 | xurl read POST_ID |
| 搜索帖子 | xurl search "QUERY" -n 10 |
| 查看当前用户 | xurl whoami |
| 查找用户 | xurl user @handle |
| 主页时间线 | xurl timeline -n 20 |
| 提及 | xurl mentions -n 10 |
| 点赞 / 取消点赞 | xurl like POST_ID / xurl unlike POST_ID |
| 转发 / 取消转发 | xurl repost POST_ID / xurl unrepost POST_ID |
| 书签 / 移除书签 | xurl bookmark POST_ID / xurl unbookmark POST_ID |
| 列出书签 / 点赞 | xurl bookmarks -n 10 / xurl likes -n 10 |
| 关注 / 取消关注 | xurl follow @handle / xurl unfollow @handle |
| 正在关注 / 关注者 | xurl following -n 20 / xurl followers -n 20 |
| 屏蔽 / 取消屏蔽 | xurl block @handle / xurl unblock @handle |
| 静音 / 取消静音 | xurl mute @handle / xurl unmute @handle |
| 发送私信 | xurl dm @handle "message" |
| 列出私信 | xurl dms -n 10 |
| 上传媒体 | xurl media upload path/to/file.mp4 |
| 媒体状态 | xurl media status MEDIA_ID |
| 列出应用 | xurl auth apps list |
| 移除应用 | xurl auth apps remove NAME |
| 设置默认应用 | xurl auth default APP_NAME [USERNAME] |
| 单次请求指定应用 | xurl --app NAME /2/users/me |
| 认证状态 | xurl auth status |
注意:
POST_ID也接受完整 URL(例如https://x.com/user/status/1234567890)—— xurl 会提取 ID。- 用户名可以使用或不使用前导
@。
命令详情
发帖
xurl post "Hello world!"
xurl post "Check this out" --media-id MEDIA_ID
xurl post "Thread pics" --media-id 111 --media-id 222
xurl reply 1234567890 "Great point!"
xurl reply https://x.com/user/status/1234567890 "Agreed!"
xurl reply 1234567890 "Look at this" --media-id MEDIA_ID
xurl quote 1234567890 "Adding my thoughts"
xurl delete 1234567890
阅读与搜索
xurl read 1234567890
xurl read https://x.com/user/status/1234567890
xurl search "golang"
xurl search "from:elonmusk" -n 20
xurl search "#buildinpublic lang:en" -n 15
用户、时间线、提及
xurl whoami
xurl user elonmusk
xurl user @XDevelopers
xurl timeline -n 25
xurl mentions -n 20
互动
xurl like 1234567890
xurl unlike 1234567890
xurl repost 1234567890
xurl unrepost 1234567890
xurl bookmark 1234567890
xurl unbookmark 1234567890
xurl bookmarks -n 20
xurl likes -n 20
社交关系图
xurl follow @XDevelopers
xurl unfollow @XDevelopers
xurl following -n 50
xurl followers -n 50
# Another user's graph
xurl following --of elonmusk -n 20
xurl followers --of elonmusk -n 20
xurl block @spammer
xurl unblock @spammer
xurl mute @annoying
xurl unmute @annoying
私信
xurl dm @someuser "Hey, saw your post!"
xurl dms -n 25
媒体上传
# Auto-detect type
xurl media upload photo.jpg
xurl media upload video.mp4
# Explicit type/category
xurl media upload --media-type image/jpeg --category tweet_image photo.jpg
# Videos need server-side processing — check status (or poll)
xurl media status MEDIA_ID
xurl media status --wait MEDIA_ID
# Full workflow
xurl media upload meme.png # returns media id
xurl post "lol" --media-id MEDIA_ID
原始 API 访问
这些快捷方式涵盖了常见操作。对于其他任何操作,请针对任何 X API v2 端点使用原始 curl 风格模式:
# GET
xurl /2/users/me
# POST with JSON body
xurl -X POST /2/tweets -d '{"text":"Hello world!"}'
# DELETE / PUT / PATCH
xurl -X DELETE /2/tweets/1234567890
# Custom headers
xurl -H "Content-Type: application/json" /2/some/endpoint
# Force streaming
xurl -s /2/tweets/search/stream
# Full URLs also work
xurl https://api.x.com/2/users/me
全局标志
| 标志 | 简写 | 描述 |
|---|---|---|
--app | 使用特定的已注册应用(覆盖默认值) | |
--auth | 强制认证类型:oauth1、oauth2 或 app | |
--username | -u | 使用哪个 OAuth2 账户(如果存在多个) |
--verbose | -v | 在代理会话中禁止使用 — 会泄露认证头信息 |
--trace | -t | 添加 X-B3-Flags: 1 追踪头 |
流式传输
流式端点会被自动检测。已知包括:
/2/tweets/search/stream/2/tweets/sample/stream/2/tweets/sample10/stream
使用 -s 强制在任何端点上启用流式传输。
输出格式
所有命令都将 JSON 返回到 stdout。结构镜像 X API v2:
{ "data": { "id": "1234567890", "text": "Hello world!" } }
错误也是 JSON 格式:
{ "errors": [ { "message": "Not authorized", "code": 403 } ] }
常见工作流
发布带图片的帖子
xurl media upload photo.jpg
xurl post "Check out this photo!" --media-id MEDIA_ID
回复对话
xurl read https://x.com/user/status/1234567890
xurl reply 1234567890 "Here are my thoughts..."
搜索并互动
xurl search "topic of interest" -n 10
xurl like POST_ID_FROM_RESULTS
xurl reply POST_ID_FROM_RESULTS "Great point!"
检查你的活动
xurl whoami
xurl mentions -n 20
xurl timeline -n 20
多个应用(凭据已手动预配置)
xurl auth default prod alice # prod app, alice user
xurl --app staging /2/users/me # one-off against staging
错误处理
- 任何错误都会导致非零退出代码。
- API 错误仍会以 JSON 形式打印到 stdout,因此你可以解析它们。
- 认证错误 → 让用户在代理会话之外重新运行
xurl auth oauth2。 - 需要调用者用户 ID 的命令(如点赞、转发、书签、关注等)将通过
/2/users/me自动获取它。那里的认证失败将表现为认证错误。
代理工作流
- 验证先决条件:
xurl --help和xurl auth status。 - 检查默认应用是否具有凭据。 解析
auth status输出。默认应用标记为▸。如果默认应用显示oauth2: (none)但另一个应用具有有效的 oauth2 用户,请告诉用户运行xurl auth default <that-app>来修复它。这是最常见的设置错误 — 用户添加了具有自定义名称的应用,但从未将其设置为默认值,因此 xurl 一直尝试使用空的default配置文件。 - 如果完全缺少认证,请停止并引导用户前往“一次性用户设置”部分 — 不要尝试自行注册应用或传递密钥。
- 从廉价的读取操作开始(
xurl whoami、xurl user @handle、xurl search ... -n 3)以确认可达性。 - 在执行任何写入操作(发帖、回复、点赞、转发、私信、关注、屏蔽、删除)之前,确认目标帖子/用户和用户意图。
- 直接使用 JSON 输出 — 每个响应都已经结构化。
- 切勿将
~/.xurl的内容粘贴回对话中。
故障排除
| 症状 | 原因 | 修复方法 |
|---|---|---|
| OAuth 流程成功后出现身份验证错误 | Token 被保存到了 default 应用(无 client-id/secret),而非你命名的应用 | 执行 xurl auth oauth2 --app my-app,然后执行 xurl auth default my-app |
OAuth 期间出现 unauthorized_client | X 仪表板中的应用类型设置为“Native App” | 在用户身份验证设置中更改为“Web app, automated app or bot” |
OAuth 后立即在 /2/users/me 上出现 UsernameNotFound 或 403 | X 未能从 /2/users/me 可靠地返回用户名 | 重新运行 xurl auth oauth2 --app my-app YOUR_USERNAME(xurl v1.1.0+)以显式传递句柄 |
| 每个请求都返回 401 | Token 过期或默认应用错误 | 检查 xurl auth status — 验证 ▸ 是否指向具有 oauth2 token 的应用 |
client-forbidden / client-not-enrolled | X 平台注册问题 | 仪表板 → Apps → Manage → 移至“Pay-per-use”套餐 → Production 环境 |
CreditsDepleted | X API 余额为 $0 | 在开发者控制台 → Billing 中购买积分(最低 $5) |
上传图片时出现 media processing failed | 默认类别为 amplify_video | 添加 --category tweet_image --media-type image/png |
| X 仪表板中存在两个“Client Secret”值 | UI bug — 第一个实际上是 Client ID | 在“Keys and tokens”页面确认;ID 以 MTpjaQ 结尾 |
注意事项
- 速率限制: X 对每个端点实施速率限制。429 表示需要等待并重试。写入端点(发帖、回复、点赞、转发)的限制比读取端点更严格。
- 作用域(Scopes): OAuth 2.0 token 使用广泛的作用域。特定操作上的 403 通常意味着 token 缺少相应的作用域 — 让用户重新运行
xurl auth oauth2。 - Token 刷新: OAuth 2.0 token 会自动刷新。无需任何操作。
- 多个应用: 每个应用都有隔离的凭据/token。使用
xurl auth default或--app进行切换。 - 每个应用的多个账户: 使用
-u / --username进行选择,或使用xurl auth default APP USER设置默认账户。 - Token 存储:
~/.xurl是 YAML 文件。切勿读取此文件或将其发送给 LLM 上下文。 - 成本: X API 访问通常针对有意义的用量收费。许多失败是套餐/权限问题,而非代码问题。
归属
- 上游 CLI:https://github.com/xdevplatform/xurl(X 开发者平台团队,Chris Park 等)
- 上游 agent skill:https://github.com/openclaw/openclaw/blob/main/skills/xurl/SKILL.md
- Hermes 适配:已根据 Hermes skill 约定重新格式化;安全护栏保留原文。