自动登录助手

概述

当代理在浏览网站时，因登录界面、会话过期或验证码挑战导致流程受阻时，请使用此技能。该技能提供一种保守的登录协助工作流：检测登录屏障、收集用户确认的凭据、填写表单，并在明确同意的前提下处理一次性验证码。

本技能并非绕过工具。绝不应尝试破解验证码、突破反机器人系统，或推断用户未明确提供的秘密信息。

何时使用

在以下任一情况发生时触发此技能：

• 页面跳转至登录、注册或会话过期页面。
• 用户要求代理为某个网站、邮箱、SaaS产品或管理后台登录。
• 某些工作流（如读取邮件、发送邮件、查看仪表盘或访问设置）因认证限制而受阻。
• 用户希望代理协助获取或输入验证码，且已批准相关流程。

请勿用于：

• 验证码求解、二维码登录绕过、硬件密钥提示、支付确认或生物识别验证。
• 猜测用户名、密码、安全问题或备用代码。
• 读取邮件或消息，除非用户明确授权用于当前任务。

工作流

1. 确认是否为登录障碍

首先验证页面确实需要身份验证。注意以下信号：

• URL 包含 login、signin、auth、session-expired、verify 等模式。
• 存在密码字段、OTP 字段或邮箱/用户名输入框。
• 按钮或标题包含“登录”、“注册”、“通过邮箱继续”、“输入验证码”等。

若页面状态模糊，请说明情况并询问用户是否应将其视为登录流程，再输入任何凭据。

2. 选择凭据来源

凭据优先级顺序：

1. 用户在当前对话中提供的凭据。
2. 用户明确指向的本地文件路径。
3. 用户明确命名的环境变量。

绝不主动扫描文件系统寻找密钥。未经用户指示，不得假设存在已保存的凭据源。

若用户提供文件路径或环境变量名称，请使用 scripts/read_credentials.py 将其规范化为统一结构。

支持的标准化字段：

• site
• login_url
• username
• email
• phone
• password
• otp_email
• otp_mode
• notes

参见 references/config-example.md 获取示例。

3. 保守填写登录表单

使用网站可见的登录流程，而非强制直接提交。

首选字段映射顺序：

• 用户标识符：email、username、account、phone
• 密码：password
• 验证码：otp、code、verification code、security code

提交前：

• 若存在多个账户可能，需与用户确认目标站点。
• 在解释中遮蔽敏感信息。
• 除非用户明确要求，否则避免点击“记住此设备”等选项。

4. 处理验证码

默认行为：请用户手动提供验证码。

仅在用户明确授权当前任务并提供邮箱访问路径时，才进入邮件读取分支。允许后：

• 仅读取最少必要内容以定位最新有效验证码。
• 使用 scripts/extract_verification_code.py 提取可能的验证码。
• 若置信度较低，简要展示候选码。
• 若存在多个合理候选码，须在提交前询问用户。

若邮件访问失败或不可用，则回退至请用户粘贴验证码。

5. 验证登录成功

提交后，通过页面证据确认登录成功：

• 用户头像、账户菜单、收件箱、仪表盘或“退出登录”控件。
• 登录提示消失。
• 成功导航至请求的功能页面。

若流程失败，在少量尝试后停止，并清晰说明阻碍原因。禁止无限循环重试。

安全规则

• 凭据视为临时数据，除非用户明确要求创建可复用的本地配置。
• 不得将凭据存储在技能目录中。
• 未经用户明确许可，不得扩大权限、更改 MFA 设置或批准信任设备提示。
• 拒绝任何实质上绕过认证或反滥用保护的流程。
• 若网站请求验证码、二维码扫描、物理令牌或密钥确认，请将控制权交还用户。

建议的交互模式

使用简洁直接的提示语句，例如：

• “此页面似乎需要登录。您希望我现在用您提供的凭据登录，还是使用您指定的本地配置？”
• “我发现了密码字段和邮箱字段。请提供该站点的账户信息，或指引我到配置路径。”
• “该网站正在请求验证码。如果您愿意，可在此粘贴验证码。我仅在您明确授权该邮箱用于本次任务时，才可读取邮件。”

资源

references/config-example.md

当用户希望使用可复用的本地凭据格式，或想查看支持字段时加载此文件。

scripts/read_credentials.py

运行此脚本，将来自 JSON 文件或环境变量的凭据规范化为一致的结构。

scripts/extract_verification_code.py

运行此脚本，从邮件文本或复制的验证码消息中提取可能的一次性验证码，前提是用户已授权该步骤。