todoist

核心用法

Todoist Natural Language Skill 是一款面向 Todoist 用户的对话式任务管理工具。用户无需记忆复杂的 CLI 语法，仅通过自然语言即可完成日常任务管理：查询今日待办（"What tasks do I have today?"）、添加新任务（"Add 'buy milk' to my todo list"）、标记完成（"Complete my task about the dentist"）以及浏览项目结构。对于偏好脚本化的用户，该 Skill 同时提供完整的 Python CLI 接口，支持过滤器语法（today、overdue、p1-p4 优先级、@label、#project 等组合查询）和时区感知的时间处理。

显著优点

零依赖架构：该 Skill 仅使用 Python 标准库（urllib、argparse、datetime 等），彻底规避了第三方依赖的供应链攻击风险，部署轻量且长期稳定。

双重交互模式：自然语言接口降低使用门槛，适合日常对话场景；CLI 脚本接口满足自动化需求，两者通过统一的 JSON 输出格式实现无缝衔接。

安全设计规范：API Token 强制通过环境变量注入，无硬编码风险；HTTPS 加密通信限定于官方 api.todoist.com 域名；输入参数经 argparse 严格校验，优先级范围锁定 1-4，日期解析委托给 Todoist 服务端避免本地注入。

功能完整性：覆盖 Todoist API v1 的核心能力，包括递归任务支持、多时区适配、智能过滤（自动排除已完成任务）以及灵活的布尔组合查询（& 和 | 运算符）。

潜在缺点与局限性

第三方非官方属性：开发者 hail2skins 为个人开发者，非 Todoist 官方团队，功能更新与长期维护存在不确定性，且无法获得官方技术支持背书。

Token 管理责任完全用户承担：Skill 本身不提供密钥加密存储或轮换机制，API Key 泄露将直接导致账户数据暴露，对安全意识薄弱的用户构成门槛。

功能边界受限：作为只读/轻量写入工具，不支持 Todoist 的高级功能如团队协作权限管理、评论同步、附件上传等复杂场景。

错误处理抽象度有限：部分 API 错误直接透传，可能暴露过多服务端细节，虽无安全隐患但影响调试体验。

适合的目标群体

• 个人效率用户：习惯语音或对话式交互、追求快速记录与查询的 Todoist 重度使用者。
• 自动化爱好者：需要将任务管理集成到本地脚本或 CI/CD 流程的技术用户。
• 隐私敏感型用户：对第三方依赖持谨慎态度、偏好标准库-only 解决方案的安全意识群体。
• 多平台切换者：在 AI 助手与命令行环境间频繁切换、需要统一数据出口的用户。

使用风险

API 速率限制：Todoist 免费/付费账户均有 API 调用配额，高频自动化脚本可能触发限流导致服务中断。

Token 泄露风险：环境变量在部分部署环境（如共享服务器、日志系统）可能被意外读取，建议配合密钥管理服务使用。

不可逆操作：删除任务为永久操作，虽有确认流程但无回收站机制，批量脚本执行前建议先 dry-run。

时区配置依赖："today" 过滤依赖 TZ 环境变量，跨时区旅行或服务器迁移时需手动校准，否则任务筛选可能出现偏差。