curl · curl project

curl Agent 使用指南

通过显式方法、请求头、认证、重试和失败处理调用 HTTP API。

官方工具操作风险: R0R3verified
Agent 适配度
84/100
证据可信度
verified
文档检查日期
2026-07-10
独立测试版本
8.7.1

为 Agent 安装

选择与运行环境匹配的官方安装方式。在团队或 CI 环境中固定版本,并先运行版本检查。

Homebrew推荐
macos · linux
$ shell
brew install curl
winget
windows
$ shell
winget install cURL.cURL
认证与最小权限
只提供任务需要的权限,凭证通过环境变量或平台密钥存储传入,不能写进提示词、仓库或日志。
需要认证支持无界面认证

通过环境变量提供范围受限的 Token,不要在输出中打印请求密钥。

认证方式
none, basic, bearer token, client certificate, netrc
密钥环境变量
HTTP_TOKEN
凭据保存位置
无界面运行时,在进程启动时从 CI 或平台密钥管理器注入 HTTP_TOKEN。本地交互使用时,若官方客户端支持,应优先使用 CLI 或操作系统凭据存储;不要把值写入仓库文件。
Agent 与运行环境兼容性
先确认 Agent 能使用 Shell,再检查平台、网络与凭证是否可用。
claude-codecodexgemini-clicopilot-cli
Environments
local, ci, container, headless, remote
Platforms
macos, linux, windows

用于稳定自动化的结构化输出

优先使用机器可读格式,并把 stdout 作为结果、stderr 作为诊断信息分别处理。

response body · headers · JSON when returned by server
在支持的命令中使用 --fail-with-body 或 --silent 或 --show-error,并将诊断日志保留在 stderr。
--fail-with-body--silent--show-error

真实执行输出样例

8.7.1 · macOS 26.5.1 (arm64), local non-interactive shell

已执行命令
curl --fail --silent --show-error --max-time 5 file://$PWD/package.json | jq -c '{name,private}'
捕获的 stdout · json
{"name":"clifinder-net","private":true}
样例 JSON Schema
{
  "type": "object",
  "additionalProperties": false,
  "required": [
    "name",
    "private"
  ],
  "properties": {
    "name": {
      "type": "string"
    },
    "private": {
      "type": "boolean"
    }
  }
}

R0–R3 命令风险指南

风险按单条命令判断。R0 是本地或远程只读,R1 是可逆的本地写入,R2 会改变远程状态,R3 可能造成不可逆或生产级影响。

只读不等于可公开

R0 只表示命令不更改本地或远程状态。只读命令仍可能返回令牌、身份信息、配置或生产数据;只展示完成任务所需的最少内容,不得写入日志、Prompt 或提交内容。

R0读取 JSON 接口
执行失败即退出的 GET 请求并保留响应正文。
$ shell
curl --fail-with-body --silent --show-error --header "Accept: application/json" https://api.example.com/items
可重复执行敏感输出
R2创建远程资源
发送会改变状态的 POST 请求。
$ shell
curl --fail-with-body --request POST --header "Content-Type: application/json" --data @payload.json https://api.example.com/items
执行前必须确认可能产生重复变更
R3删除远程资源
发送可能具有破坏性的 DELETE 请求。
$ shell
curl --fail-with-body --request DELETE https://api.example.com/items/ID
执行前必须确认可能产生重复变更

Agent Readiness 评分依据

适配度描述 Agent 操作工具的稳定程度,不代表所有命令都安全,也不替代独立执行测试。

文档证据对应的 Agent Readiness 为 84/100;已记录 8.7.1 的有限本地 Smoke Test,使用未测试命令前仍需查看证据边界。

结构化输出
在支持的命令中使用 --fail-with-body 或 --silent 或 --show-error,并将诊断日志保留在 stderr。
18/20
x
无界面运行
官方文档描述了非交互认证或执行路径。
14/15
x
安全控制
CLI Finder 将读取命令与需要确认的命令分开。
11/15
x
确定性
命令尽量使用显式参数和文档支持的输出控制。
8/10
x
认证
通过环境变量提供范围受限的 Token,不要在输出中打印请求密钥。
8/10
x
文档
本条目引用了 2026-07-10 检查的官方文档。
9/10
x
安装
官方安装路径覆盖 macOS、Linux 和 Windows。
8/8
x
维护状态
条目链接了官方源码仓库,便于检查发布与维护状态。
6/7
x
Agent 产物
CLI Finder 可生成基于注册表的 Skill 和策略;该分数不假定工具自身提供这些产物。
2/5
x

生成 Skill 或 Agent 策略

选择目标 Agent 和安全模式,生成包含安装、允许命令、确认边界与证据说明的可复制产物。

生成结果预览
SKILL.md
---
name: curl-agent-workflow
description: Use curl for HTTP APIs, file transfers, health checks with explicit command risk and evidence boundaries.
---

# curl agent workflow

Use this skill when the task needs HTTP APIs, file transfers, health checks, webhook calls.

## Evidence boundary

- Registry confidence: `verified`
- Documentation checked: `2026-07-10`
- Locally tested version: `8.7.1`
- Treat only the recorded executed checks as independently verified; every unlisted command remains documentation-only.

## Executed smoke checks

- `curl --version` — passed; exit 0. The recorded smoke check completed successfully.
- `curl --fail --silent --show-error --max-time 5 file://$PWD/package.json` — passed; exit 0. The recorded smoke check completed successfully.
- `curl --fail --silent --show-error --max-time 5 file://$PWD/package.json | jq -e '.name == "clifinder-net"'` — passed; exit 0. The bounded local file response passed the recorded jq assertion.
- `curl --fail --silent --show-error --max-time 5 file://$PWD/not-a-real-qa-file` — expected-failure; exit 37. curl returned its documented local-file open error and kept the diagnostic on stderr.

## Installation

- Homebrew (macos, linux): `brew install curl`
- winget (windows): `winget install cURL.cURL`

## Authentication

- Methods: none, basic, bearer token, client certificate, netrc
- Secret environment variables: `HTTP_TOKEN`
- Minimum permissions: Pass scoped tokens through environment-backed headers and never print request secrets.
- Credential storage: For headless runs, inject HTTP_TOKEN from the CI or platform secret manager at process start. For local interactive use, prefer the CLI or operating-system credential store when the official client supports one. Never save values in repository files.
- Never print, persist, or commit credential values.

## Allowed commands (read-only)

- `curl --fail-with-body --silent --show-error --header "Accept: application/json" https://api.example.com/items` — R0: Performs a failing-fast GET request and preserves the response body.

## Commands requiring explicit approval (read-only)

- None recorded.

## Forbidden commands (read-only)

- R2 `curl --fail-with-body --request POST --header "Content-Type: application/json" --data @payload.json https://api.example.com/items` — Sends a state-changing POST request.
- R3 `curl --fail-with-body --request DELETE https://api.example.com/items/ID` — Sends a potentially destructive DELETE request.

## Execution rules

1. Mode boundary: R0 exact commands may be used; R1, R2, and R3 commands are forbidden.
2. Confirm the selected account, project, context, database, namespace, or environment before any command.
3. Prefer structured output using `--fail-with-body`, `--silent`, `--show-error`.
4. Capture the exact command, exit code, stdout, and stderr separately.
5. A generated prefix policy must prompt unless that exact prefix is explicitly marked suffix-safe; do not infer safety from the executable name.
6. Never broaden credentials or disable safety controls to make a command succeed.

## Official sources

- [curl manual](https://curl.se/docs/manpage.html)
- [curl manual source repository](https://github.com/curl/curl)

这个任务该用 CLI、MCP 还是 API

CLI
适合在开发机、CI 或容器里复用现有 Shell、凭证和脚本,尤其适合短时、可观察的任务。
MCP
当 Agent 需要受控工具定义、委托身份或由服务端集中治理访问时,MCP 可能更合适。
API
当工作流是应用内长期集成、批量调用或事件驱动时,直接 API 往往比启动进程更稳定。
查看 CLI 与 MCP 完整对比

验证记录与官方证据

CLI Finder 分开记录文档检查和真实执行。未执行过的安装、帮助、退出码与输出不能标为 Verified。

当前证据边界
已执行版本输出、有限本地文件读取、JSON 断言和文件缺失失败路径,并使用 fail、silent、error 与 timeout 标志;未测试网络、TLS、认证、重定向、HTTP 响应错误、上传或状态变更请求。
证据可信度
verified
独立测试版本
8.7.1 · 2026-07-10
测试环境
macOS 26.5.1 (arm64), local non-interactive shell

真实执行项

  • 通过退出码: 0
    curl --version

    已记录的 Smoke Check 成功完成。

    stdout 摘要

    curl 8.7.1 (x86_64-apple-darwin25.0) libcurl/8.7.1
  • 通过退出码: 0
    curl --fail --silent --show-error --max-time 5 file://$PWD/package.json

    已记录的 Smoke Check 成功完成。

  • 通过退出码: 0
    curl --fail --silent --show-error --max-time 5 file://$PWD/package.json | jq -e '.name == "clifinder-net"'

    有限本地文件响应通过了已记录的 jq 断言。

    stdout 摘要

    true
  • 预期失败路径退出码: 37
    curl --fail --silent --show-error --max-time 5 file://$PWD/not-a-real-qa-file

    curl 对不存在的本地文件返回了文档约定的打开错误,并把诊断保留在 stderr。

    stderr 摘要

    curl: (37) Couldn't open file <workspace>/not-a-real-qa-file
官方来源
打开官方资料确认当前版本和命令。

替代工具与相关入口

调用 API、检查协议并测试 Webhook 或隧道。
通过 JSON 感知的输入输出,在本地或 CI 工作流中发送易读的 HTTP 请求。
先用明确的方法、Header、Body、超时和保存的响应复现单个请求,再改客户端或服务端。
用搜索和结构化数据工具建立本地检查栈,再为 HTTP 和 GitHub 配置明确范围。
可移植和精确脚本优先 curl;可读交互请求和便捷 Session 优先 HTTPie。

Agent 使用 curl 的常见问题