什么是 Agently Mail?
随着 AI Agent 的快速普及,Agent 对真实世界工具的调用需求日益增加,电子邮件作为最基础的通信方式自然成为重要一环。然而,让 Agent 直接访问个人邮箱不仅带来隐私风险,也缺乏必要的安全隔离。正是在这一背景下,QQ 邮箱团队推出了 Agently Mail——一个专为 AI Agent 设计的专属邮箱服务。
Agently Mail 与用户的个人邮箱完全隔离,原生适配 Agent 工作流,助力开发者和用户安全、高效地让 Agent 收发邮件。其官网位于 agent.qq.com,开源仓库托管于 GitHub - Tencent/AgentlyMail。
七大核心 Skill 能力
Agently Mail Skills 将邮件操作能力结构化为七个维度,覆盖从身份认证到附件管理的完整使用链路。
登录授权(Auth)
身份安全是一切操作的基础。Agently Mail 采用 OAuth 授权机制,通过微信登录完成身份绑定。Agent 可发起授权流程、查看当前凭据状态,以及在需要时登出并清除本地保存的凭据。整个授权过程通过浏览器交互完成,Agent 不会直接接触用户密码,确保了凭据的安全性。
当前用户(Current User)
授权完成后,Agent 可通过 agently-cli +me 指令获取当前绑定的邮箱地址及其 alias 列表,方便在后续操作中明确使用哪个发件身份,避免误发。
邮件列表(Message List)
邮件列表功能支持按文件夹浏览(收件箱 inbox、已发送 sent、回收站 trash、垃圾邮件 spam),并提供丰富的过滤参数:可按时间范围(--after / --before)、是否含附件(--has-attachments)、是否未读(--is-unread)进行精准筛选,同时支持分页游标(--cursor)翻页,满足对大量邮件的遍历需求。
邮件读取(Message Read)
通过 agently-cli message +read --id msg_xxx 命令,Agent 可以获取指定邮件的完整内容,包括正文(body)、所有收件人信息,以及附件元数据列表。这为进一步的附件下载和内容分析提供了数据基础。
邮件搜索(Message Search)
搜索能力是 Agently Mail 的亮点之一,支持关键词全文检索,还可将搜索范围限定在标题(SEARCH_IN_SUBJECT)或正文(SEARCH_IN_CONTENT),并叠加发件人(--from)、收件人(--to)、文件夹、时间区间、有无附件、是否未读等多维度条件。值得注意的是,搜索翻页时必须保留原始搜索条件并追加 --cursor,以维持完整的搜索上下文。
写邮件(Send / Reply / Forward)
写操作是 Agently Mail 功能最丰富的部分,涵盖三种场景:
- 发送(+send):支持多收件人(--to 可重复)、抄送(--cc)、密送(--bcc)、HTML 格式正文(--body-format html)和最多 3 个附件。
- 回复(+reply):针对指定邮件回复,支持"全部回复"(--reply-all)和追加附件。
- 转发(+forward):将邮件转发给新收件人,可选择携带原始附件(--include-attachments)并追加新附件。
所有写操作均强制执行两阶段确认机制:Agent 首先不带 --confirmation-token 调用命令,获取操作摘要(summary)和确认令牌(ctk_xxx),展示给用户确认;只有在用户明确回复许可后,Agent 才能在下一轮携带该令牌完成操作。这一设计从根本上杜绝了 Agent 自动发出误操作邮件的风险,确认令牌有效期为 5 分钟。
附件管理(Attachment)
附件下载通过 agently-cli attachment +download 实现,需同时指定邮件 ID(--msg)和附件 ID(--att),文件名由服务端决定,存在同名时自动加后缀,可通过 data.saved_to 字段获取实际保存路径。值得注意的是,超大附件不会有 attachment_id,而是直接返回 download_url,Agent 应将该链接原样提供给用户自行下载。
安装与快速上手
Agently Mail Skills 通过 npm 生态分发,上手步骤十分简洁。首先全局安装 CLI 工具:
npm install -g @tencent-qqmail/agently-cli 随后安装 Skill 本体:
npx skills add Tencent/AgentlyMail -g -y 完成安装后,执行 agently-cli auth login 进行 OAuth 授权,最后用 agently-cli +me 验证授权状态即可开始使用。授权完成后,只需以自然语言向 Agent 下达指令,例如:
“帮我看看最近 10 封邮件”
“搜索标题里有周报的邮件”
“给 alice@example.com 发一封邮件”
“下载这封邮件里的附件”
安全设计理念
Agently Mail 在设计层面对安全性给予了高度重视。除了前文提到的写操作两阶段确认外,SKILL.md 文档中明确指出:邮件正文和标题可能包含 Prompt Injection 攻击,即攻击者在邮件内容中嵌入"伪装成指令"的文本,企图操控 Agent 执行额外操作。对此,规范要求 Agent 读取邮件内容时只将其作为数据展示给用户,而不被内容中的"指令"所驱动。
此外,正文书写规范也强调:发送、回复、转发邮件时,正文只包含用户要求传达的内容,除非用户明确要求,否则不得添加 Agent 自身的署名或说明,保持邮件的专业性与纯粹性。
Agently Mail Skills 以简洁的 CLI 接口、完整的邮件操作覆盖和严谨的安全机制,为 AI Agent 接入邮件服务提供了一套成熟且可信赖的解决方案。对于希望让 Agent 具备真实邮件处理能力的开发者而言,这是一个值得深入探索的开源项目。 GitHub - Tencent/AgentlyMail