Xurl
通过 xurl CLI 使用 X/Twitter:发帖、搜索、私信、媒体、v2 API。
Skill 元数据
| 来源 | 内置(默认安装) |
| 路径 | skills/social-media/xurl |
| 版本 | 1.1.1 |
| 作者 | xdevplatform + openclaw + AigenLabs Agent |
| 许可证 | MIT |
| 平台 | linux, macos |
| 标签 | twitter, x, social-media, xurl, official-api |
参考:完整 SKILL.md
信息
以下是 AigenLabs 在触发此 skill 时加载的完整 skill 定义。这是 skill 激活时 agent 所看到的指令内容。
xurl — 通过官方 CLI 使用 X (Twitter) API
xurl 是 X 开发者平台官方提供的 X API CLI 工具。它支持常用操作的快捷命令,以及对任意 v2 端点的原始 curl 风格访问。所有命令均将 JSON 输出到 stdout。
适用场景:
- 发帖、回复、引用、删除帖子
- 搜索帖子及读取时间线/提及
- 点赞、转发、书签
- 关注、取消关注、拉黑、静音
- 私信(DM)
- 媒体上传(图片和视频)
- 对任意 X API v2 端点的原始访问
- 多应用 / 多账号工作流
此 skill 替代了旧版 xitter skill(该 skill 封装了第三方 Python CLI)。xurl 由 X 开发者平台团队维护,支持带自动刷新的 OAuth 2.0 PKCE,覆盖的 API 范围更广。
密钥安全(强制要求)
在 agent/LLM 会话中操作时的关键规则:
- 绝不读取、打印、解析、汇总、上传或将
~/.xurl发送到 LLM 上下文。 - 绝不要求用户将凭据/token 粘贴到对话中。
- 用户必须在其本机上手动填写
~/.xurl中的密钥。 - 绝不在 agent 会话中推荐或执行包含内联密钥的认证命令。
- 绝不在 agent 会话中使用
--verbose/-v——它可能暴露认证头/token。 - 如需验证凭据是否存在,只使用:
xurl auth status。
agent 命令中禁止使用的 flag(这些 flag 接受内联密钥):
--bearer-token、--consumer-key、--consumer-secret、--access-token、--token-secret、--client-id、--client-secret
应用凭据注册和凭据轮换必须由用户在 agent 会话外手动完成。凭据注册完成后,用户使用 xurl auth oauth2 进行认证——同样在 agent 会话外执行。Token 持久化保存到 ~/.xurl(YAML 格式)。每个应用拥有独立的 token。OAuth 2.0 token 自动刷新。
安装
选择以下任意一种方式。在 Linux 上,shell 脚本或 go install 最为简便。
# Shell 脚本(安装到 ~/.local/bin,无需 sudo,支持 Linux + macOS)
curl -fsSL https://raw.githubusercontent.com/xdevplatform/xurl/main/install.sh | bash
# Homebrew(macOS)
brew install --cask xdevplatform/tap/xurl
# npm
npm install -g @xdevplatform/xurl
# Go
go install github.com/xdevplatform/xurl@latest
验证:
xurl --help
xurl auth status
如果 xurl 已安装但 auth status 显示无应用或 token,用户需要手动完成认证——参见下一节。
一次性用户配置(用户在 agent 外执行)
以下步骤必须由用户直接执行,不得由 agent 代为执行,因为涉及粘贴密钥。请将用户引导至此部分;不要替用户执行。
-
在 https://developer.x.com/en/portal/dashboard 创建或打开一个应用
-
将重定向 URI 设置为
http://localhost:8080/callback -
复制应用的 Client ID 和 Client Secret
-
在本地注册应用(用户执行):
xurl auth apps add my-app --client-id YOUR_CLIENT_ID --client-secret YOUR_CLIENT_SECRET -
进行认证(指定
--app将 token 绑定到你的应用):xurl auth oauth2 --app my-app(这将打开浏览器进行 OAuth 2.0 PKCE 流程。)
如果 X 在 OAuth 后的
/2/users/me查询中返回UsernameNotFound错误或 403,请显式传入你的用户名(xurl v1.1.0+):xurl auth oauth2 --app my-app YOUR_USERNAME这会将 token 绑定到你的用户名,并跳过有问题的
/2/users/me调用。 -
将该应用设为默认,使所有命令都使用它:
xurl auth default my-app -
验证:
xurl auth status
xurl whoami
完成后,agent 即可使用以下所有命令,无需进一步配置。OAuth 2.0 token 自动刷新。
常见陷阱: 如果在
xurl auth oauth2时省略了--app my-app,OAuth token 将保存到内置的default应用配置中——该配置没有 client-id 或 client-secret。即使 OAuth 流程看似成功,命令也会因认证错误而失败。如遇此情况,请重新运行xurl auth oauth2 --app my-app和xurl auth default my-app。
快速参考
| 操作 | 命令 |
|---|---|
| 发帖 | xurl post "Hello world!" |
| 回复 | xurl reply POST_ID "Nice post!" |
| 引用 | xurl quote POST_ID "My take" |
| 删除帖子 | xurl delete POST_ID |
| 读取帖子 | xurl read POST_ID |
| 搜索帖子 | xurl search "QUERY" -n 10 |
| 查看自己 | xurl whoami |
| 查找用户 | xurl user @handle |
| 主页时间线 | xurl timeline -n 20 |
| 提及 | xurl mentions -n 10 |
| 点赞 / 取消点赞 | xurl like POST_ID / xurl unlike POST_ID |
| 转发 / 撤销转发 | xurl repost POST_ID / xurl unrepost POST_ID |
| 书签 / 移除书签 | xurl bookmark POST_ID / xurl unbookmark POST_ID |
| 列出书签 / 点赞 | xurl bookmarks -n 10 / xurl likes -n 10 |
| 关注 / 取消关注 | xurl follow @handle / xurl unfollow @handle |
| 正在关注 / 粉丝 | xurl following -n 20 / xurl followers -n 20 |
| 拉黑 / 取消拉黑 | xurl block @handle / xurl unblock @handle |
| 静音 / 取消静音 | xurl mute @handle / xurl unmute @handle |
| 发送私信 | xurl dm @handle "message" |
| 列出私信 | xurl dms -n 10 |
| 上传媒体 | xurl media upload path/to/file.mp4 |
| 媒体状态 | xurl media status MEDIA_ID |
| 列出应用 | xurl auth apps list |
| 移除应用 | xurl auth apps remove NAME |
| 设置默认应用 | xurl auth default APP_NAME [USERNAME] |
| 单次请求指定应用 | xurl --app NAME /2/users/me |
| 认证状态 | xurl auth status |
注意:
POST_ID也接受完整 URL(如https://x.com/user/status/1234567890)——xurl 会自动提取 ID。- 用户名可带或不带前缀
@。
命令详情
发帖
xurl post "Hello world!"
xurl post "Check this out" --media-id MEDIA_ID
xurl post "Thread pics" --media-id 111 --media-id 222
xurl reply 1234567890 "Great point!"
xurl reply https://x.com/user/status/1234567890 "Agreed!"
xurl reply 1234567890 "Look at this" --media-id MEDIA_ID
xurl quote 1234567890 "Adding my thoughts"
xurl delete 1234567890
读取与搜索
xurl read 1234567890
xurl read https://x.com/user/status/1234567890
xurl search "golang"
xurl search "from:elonmusk" -n 20
xurl search "#buildinpublic lang:en" -n 15
用户、时间线、提及
xurl whoami
xurl user elonmusk
xurl user @XDevelopers
xurl timeline -n 25
xurl mentions -n 20
互动
xurl like 1234567890
xurl unlike 1234567890
xurl repost 1234567890
xurl unrepost 1234567890
xurl bookmark 1234567890
xurl unbookmark 1234567890
xurl bookmarks -n 20
xurl likes -n 20
社交关系
xurl follow @XDevelopers
xurl unfollow @XDevelopers
xurl following -n 50
xurl followers -n 50
# 查看其他用户的关系
xurl following --of elonmusk -n 20
xurl followers --of elonmusk -n 20
xurl block @spammer
xurl unblock @spammer
xurl mute @annoying
xurl unmute @annoying
私信
xurl dm @someuser "Hey, saw your post!"
xurl dms -n 25
媒体上传
# 自动检测类型
xurl media upload photo.jpg
xurl media upload video.mp4
# 显式指定类型/分类
xurl media upload --media-type image/jpeg --category tweet_image photo.jpg
# 视频需要服务端处理——检查状态(或轮询)
xurl media status MEDIA_ID
xurl media status --wait MEDIA_ID
# 完整工作流
xurl media upload meme.png # 返回 media id
xurl post "lol" --media-id MEDIA_ID
原始 API 访问
快捷命令覆盖了常用操作。对于其他需求,可使用原始 curl 风格模式访问任意 X API v2 端点:
# GET
xurl /2/users/me
# POST,带 JSON body
xurl -X POST /2/tweets -d '{"text":"Hello world!"}'
# DELETE / PUT / PATCH
xurl -X DELETE /2/tweets/1234567890
# 自定义请求头
xurl -H "Content-Type: application/json" /2/some/endpoint
# 强制流式传输
xurl -s /2/tweets/search/stream
# 完整 URL 同样有效
xurl https://api.x.com/2/users/me
全局 Flag
| Flag | 简写 | 说明 |
|---|---|---|
--app | 使用指定的已注册应用(覆盖默认值) | |
--auth | 强制指定认证类型:oauth1、oauth2 或 app | |
--username | -u | 指定使用哪个 OAuth2 账号(存在多个时) |
--verbose | -v | agent 会话中禁止使用——会泄露认证头 |
--trace | -t | 添加 X-B3-Flags: 1 追踪请求头 |
流式传输
流式端点会被自动检测。已知的流式端点包括:
/2/tweets/search/stream/2/tweets/sample/stream/2/tweets/sample10/stream
对任意端点使用 -s 强制启用流式传输。
输出格式
所有命令将 JSON 输出到 stdout。结构与 X API v2 保持一致:
{ "data": { "id": "1234567890", "text": "Hello world!" } }
错误同样以 JSON 形式输出:
{ "errors": [ { "message": "Not authorized", "code": 403 } ] }
常见工作流
发布带图片的帖子
xurl media upload photo.jpg
xurl post "Check out this photo!" --media-id MEDIA_ID
回复某个对话
xurl read https://x.com/user/status/1234567890
xurl reply 1234567890 "Here are my thoughts..."
搜索并互动
xurl search "topic of interest" -n 10
xurl like POST_ID_FROM_RESULTS
xurl reply POST_ID_FROM_RESULTS "Great point!"
查看自己的动态
xurl whoami
xurl mentions -n 20
xurl timeline -n 20
多应用(凭据已手动预配置)
xurl auth default prod alice # prod 应用,alice 用户
xurl --app staging /2/users/me # 单次请求使用 staging
错误处理
- 任何错误均返回非零退出码。
- API 错误仍以 JSON 形式打印到 stdout,可直接解析。
- 认证错误 → 让用户在 agent 会话外重新运行
xurl auth oauth2。 - 需要调用方用户 ID 的命令(点赞、转发、书签、关注等)会通过
/2/users/me自动获取。该处的认证失败会以认证错误的形式呈现。
Agent 工作流
- 验证前置条件:
xurl --help和xurl auth status。 - 检查默认应用是否有凭据。 解析
auth status输出。默认应用以▸标记。如果默认应用显示oauth2: (none),但另一个应用有有效的 oauth2 用户,请告知用户运行xurl auth default <that-app>修复。这是最常见的配置错误——用户添加了自定义名称的应用但从未将其设为默认,导致 xurl 一直尝试使用空的default配置。 - 如果完全缺少认证,停止操作并将用户引导至"一次性用户配置"部分——不要尝试自行注册应用或传递密钥。
- 先执行低成本的读取操作(
xurl whoami、xurl user @handle、xurl search ... -n 3)以确认连通性。 - 在执行任何写操作(发帖、回复、点赞、转发、私信、关注、拉黑、删除)前,确认目标帖子/用户及用户意图。
- 直接使用 JSON 输出——每个响应均已结构化。
- 绝不将
~/.xurl内容粘贴回对话中。
故障排查
| 现象 | 原因 | 解决方法 |
|---|---|---|
| OAuth 流程成功后仍出现认证错误 | Token 保存到了 default 应用(无 client-id/secret)而非命名应用 | 执行 xurl auth oauth2 --app my-app,然后 xurl auth default my-app |
OAuth 期间出现 unauthorized_client | X 控制台中应用类型设置为"Native App" | 在用户认证设置中改为"Web app, automated app or bot" |
OAuth 后 /2/users/me 返回 UsernameNotFound 或 403 | X 的 /2/users/me 返回用户名不稳定 | 重新运行 xurl auth oauth2 --app my-app YOUR_USERNAME(xurl v1.1.0+)显式传入用户名 |
| 每次请求均返回 401 | Token 已过期或默认应用错误 | 检查 xurl auth status——确认 ▸ 指向有 oauth2 token 的应用 |
client-forbidden / client-not-enrolled | X 平台注册问题 | 控制台 → 应用 → 管理 → 切换到"Pay-per-use"套餐 → 生产环境 |
CreditsDepleted | X API 余额为 $0 | 在开发者控制台 → 账单中充值(最低 $5) |
图片上传时 media processing failed | 默认分类为 amplify_video | 添加 --category tweet_image --media-type image/png |
| X 控制台中出现两个"Client Secret"值 | UI 问题——第一个实际上是 Client ID | 在"Keys and tokens"页面确认;ID 以 MTpjaQ 结尾 |
注意事项
- 速率限制: X 对每个端点执行速率限制。429 表示需要等待后重试。写操作端点(发帖、回复、点赞、转发)的限制比读操作更严格。
- 权限范围(Scope): OAuth 2.0 token 使用宽泛的 scope。特定操作返回 403 通常意味着 token 缺少某个 scope——让用户重新运行
xurl auth oauth2。 - Token 刷新: OAuth 2.0 token 自动刷新,无需任何操作。
- 多应用: 每个应用拥有独立的凭据/token。使用
xurl auth default或--app切换。 - 每个应用的多账号: 使用
-u / --username选择,或通过xurl auth default APP USER设置默认值。 - Token 存储:
~/.xurl为 YAML 格式。绝不读取或将此文件发送到 LLM 上下文。 - 费用: X API 访问在有实际使用量时通常需要付费。许多失败是套餐/权限问题,而非代码问题。
致谢
- 上游 CLI:https://github.com/xdevplatform/xurl(X 开发者平台团队,Chris Park 等)
- 上游 agent skill:https://github.com/openclaw/openclaw/blob/main/skills/xurl/SKILL.md
- AigenLabs 适配:按 AigenLabs skill 规范重新格式化;安全防护规则原文保留。