Todoist 任务可见性管理

要点与建议： - 不一致性：注册元数据未声明任何必需的环境变量或二进制依赖，但 SKILL.md 和脚本都需要 TODOIST_TOKEN、项目和 section ID 及命令行工具（curl，文档中也提到 jq）。在安装/启用前要求发布者更新技能元数据或在本地明确提供这些值。 - 权限与秘密管理：TODOIST_TOKEN 是敏感凭证（可访问你的 Todoist 数据）。仅在信任此技能来源时提供，并尽可能使用有限权限或专用账号/令牌，避免把长期全局 token 暴露给未知第三方。将 token 存放在安全位置（例如受限环境变量或秘密管理器），不要在共享日志或公共仓库中泄露。 - API 版本差异：脚本中 API_BASE 在不同脚本里使用了不同的路径（scripts/add_comment.sh 使用 https://api.todoist.com/rest/v2，而其他脚本使用 https://api.todoist.com/api/v1）。这可能导致兼容性或行为差异（例如 comments 接口在不同版本下的参数或路径不同）。建议在部署前测试每个脚本并让作者统一 API 版本或在文档中解释差异。 - 运行环境：脚本在本地执行（无远程安装），依赖 curl 和 （文档）jq。建议在隔离环境（非生产、或容器/VM）中先运行并观察网络请求/日志，确认行为符合预期。 - 需要发布者澄清的项：更新 registry 元数据以列出 TODOIST_TOKEN、TODOIST_PROJECT_ID、SECTION_* 为必需项并将 TODOIST_TOKEN 标示为 primary credential；明确是否需要 jq；解释为什么使用不同的 API 端点（v1 vs rest/v2）。 总体建议：脚本看起来并非恶意，但有元数据与实现的不一致和工程细节需先澄清并在安全环境中测试，确认后再在生产环境中长期使用。