[FEAT] X(Twitter) 프로바이더 추가 (v0.7.0)

- 순수 HTTP 기반 X 프로바이더 구현 (브라우저 불필요)
- GraphQL queryId 동적 추출 (main.js 파싱, 166개 operation, 1시간 캐시)
- X 배포 시에도 자동 재동기화로 깨지지 않음
- 16개 메서드: 트윗 발행/삭제, 좋아요, 리트윗, 팔로우, 검색, 타임라인, 미디어 업로드
- Rate limit: 트윗 2~5분, 좋아요 30~60초, 팔로우 2~3분 간격 (신규 계정 보수적)
- 쿠키 기반 인증 (auth_token + ct0)
- 영문/한국어 가이드 문서 추가
- README.md, README.ko.md, CLAUDE.md 업데이트

Author: greekr4

CLAUDE.md

@@ -33,12 +33,19 @@ src/
 │   │   ├── selectors.js
 │   │   ├── editorConvert.js
 │   │   └── imageUpload.js
-│   └── insta/                   # Instagram 프로바이더 (순수 HTTP, 브라우저 불필요)
-│       ├── index.js             # 메인 (18개 메서드)
-│       ├── auth.js              # HTTP 로그인 (fetch 기반)
-│       ├── session.js           # 세션 + rate limit 영속화 (userId별)
-│       ├── apiClient.js         # Instagram API 클라이언트 + 안전 규칙
-│       ├── smartComment.js      # 게시물 분석 (썸네일 base64 + 캡션)
+│   ├── insta/                   # Instagram 프로바이더 (순수 HTTP, 브라우저 불필요)
+│   │   ├── index.js             # 메인 (18개 메서드)
+│   │   ├── auth.js              # HTTP 로그인 (fetch 기반)
+│   │   ├── session.js           # 세션 + rate limit 영속화 (userId별)
+│   │   ├── apiClient.js         # Instagram API 클라이언트 + 안전 규칙
+│   │   ├── smartComment.js      # 게시물 분석 (썸네일 base64 + 캡션)
+│   │   └── utils.js
+│   └── x/                       # X (Twitter) 프로바이더 (비공식 GraphQL API, 브라우저 불필요)
+│       ├── index.js             # 메인 (16개 메서드)
+│       ├── auth.js              # 쿠키 기반 인증 (auth_token + ct0)
+│       ├── session.js           # 세션 + rate limit 영속화
+│       ├── apiClient.js         # GraphQL API 클라이언트 + 안전 규칙
+│       ├── graphqlSync.js       # main.js에서 queryId 동적 추출 + 캐싱
 │       └── utils.js
 ├── bin/
 │   └── index.js                 # CLI 엔트리포인트
@@ -53,7 +60,9 @@ src/
 ├── sessions/
 │   ├── tistory-session.json     # Tistory 쿠키
 │   ├── naver-session.json       # Naver 쿠키
-│   └── insta-session.json       # Instagram 쿠키 + rate limit 카운터 (userId별)
+│   ├── insta-session.json       # Instagram 쿠키 + rate limit 카운터 (userId별)
+│   └── x-session.json           # X (Twitter) 쿠키 (auth_token + ct0)
+├── x-graphql-cache.json         # X GraphQL queryId 캐시 (1시간 TTL)
 └── providers.json               # 프로바이더 메타 정보
 ```
 
@@ -64,6 +73,7 @@ src/
 | tistory   | Playwright 브라우저 | playwright | 블로그 글 발행, 임시저장, 이미지 업로드 |
 | naver     | Playwright 브라우저 | playwright | 블로그 글 발행, 에디터 컴포넌트 변환 |
 | insta     | 순수 HTTP (fetch)   | 없음       | 로그인, 프로필, 피드, 좋아요, 댓글, 팔로우, 포스팅 |
+| x         | 쿠키 기반 (auth_token + ct0) | 없음 | 트윗 발행, 타임라인, 검색, 좋아요, 리트윗, 미디어 업로드 |
 
 ## Instagram Rate Limit 규칙
 
@@ -82,6 +92,23 @@ src/
 - 카운터는 세션 파일에 userId별로 영속화
 - challenge 발생 시 브라우저에서 본인 인증 필요
 
+## X (Twitter) Rate Limit 규칙
+
+신규 계정 (0~30일) 기준:
+
+| 액션 | 딜레이 | 시간당 | 일일 |
+|------|--------|--------|------|
+| 트윗 | 120~300초 (2~5분) | 10 | 50 |
+| 좋아요 | 30~60초 | 15 | 200 |
+| 리트윗 | 60~120초 | 10 | 50 |
+| 팔로우 | 120~180초 | 10 | 100 |
+| 언팔로우 | 120~180초 | 8 | 80 |
+
+- 트윗/답글/인용 합산 하드캡: 2,400/일 (성숙 계정)
+- 226 에러 발생 시 12~48시간 쿨다운 필수
+- 읽기(프로필/타임라인/검색)는 HTTP API, 쓰기(발행)는 브라우저 경유 권장 (신규 계정)
+- queryId는 `~/.viruagent-cli/x-graphql-cache.json`에 캐싱 (1시간 TTL, 자동 갱신)
+
 ## 환경변수
 
 ```
@@ -96,6 +123,10 @@ NAVER_PASSWORD=
 # Instagram
 INSTA_USERNAME=
 INSTA_PASSWORD=
+
+# X (Twitter) — 브라우저에서 쿠키 추출 필요
+X_AUTH_TOKEN=
+X_CT0=
 ```
 
 ## 배포

README.ko.md

@@ -29,6 +29,7 @@
 | **Tistory** | Playwright (카카오) | 글 발행, 임시저장, 카테고리, 이미지 업로드 | [가이드](docs/ko/guide-tistory.md) |
 | **Naver Blog** | Playwright (네이버) | 글 발행, 카테고리, SE Editor, 이미지 업로드 | [가이드](docs/ko/guide-naver.md) |
 | **Instagram** | HTTP (브라우저 불필요) | 좋아요, 댓글, 팔로우, 포스팅, 프로필, 피드 | [가이드](docs/ko/guide-instagram.md) |
+| **X (Twitter)** | HTTP (쿠키 인증) | 트윗, 좋아요, 리트윗, 팔로우, 검색, 타임라인, 미디어 업로드 | [가이드](docs/ko/guide-x.md) |
 
 ## 동작 방식
 
@@ -95,6 +96,15 @@ npx viruagent-cli login --provider insta --username <인스타 ID> --password <
 >
 > 전체 API 레퍼런스와 rate limit 규칙은 [Instagram 가이드](docs/ko/guide-instagram.md)를 참고하세요.
 
+### X (Twitter)
+
+```bash
+npx viruagent-cli login --provider x --auth-token <토큰> --ct0 <ct0>
+```
+> 브라우저에서 `auth_token`과 `ct0` 쿠키를 추출하세요. 비밀번호 로그인 없음 — 쿠키 기반 인증만 지원.
+>
+> 전체 API 레퍼런스, GraphQL 동기화, rate limit 규칙은 [X 가이드](docs/ko/guide-x.md)를 참고하세요.
+
 ## 사용법
 
 | 이렇게 말하면 | 에이전트가 알아서 |
@@ -107,12 +117,17 @@ npx viruagent-cli login --provider insta --username <인스타 ID> --password <
 | "이 사람 피드 분석해서 댓글 달아줘" | analyzePost → AI 댓글 생성 → comment |
 | "@user 팔로우해줘" | 로그인 → follow (딜레이 자동 적용) |
 | "인스타 rate limit 확인해줘" | rate-limit-status → 카운터 표시 |
+| "이 내용으로 트윗해줘" | X 로그인 → publish (rate limit 자동 적용) |
+| "X에서 AI 도구 검색해줘" | search → 결과 반환 |
+| "X에서 IT 개발자 좋아요하고 팔로우해줘" | search → like + follow (딜레이 자동 적용) |
+| "내 X 타임라인 보여줘" | getFeed → 최신 트윗 표시 |
 
 ## 플랫폼별 가이드
 
 - **[Tistory 가이드](docs/ko/guide-tistory.md)** — 블로그 발행, 이미지 업로드, 카테고리
 - **[Naver Blog 가이드](docs/ko/guide-naver.md)** — SE Editor, 블로그 발행, 이미지 업로드
 - **[Instagram 가이드](docs/ko/guide-instagram.md)** — 18개 API 메서드, rate limit 규칙, AI 댓글
+- **[X (Twitter) 가이드](docs/ko/guide-x.md)** — GraphQL API, queryId 동적 동기화, rate limit 규칙
 
 ## 지원 환경
 
@@ -129,6 +144,7 @@ npx viruagent-cli login --provider insta --username <인스타 ID> --password <
 | CLI 프레임워크 | Commander.js |
 | 브라우저 자동화 | Playwright (Tistory, Naver만 사용) |
 | Instagram API | 순수 HTTP fetch (브라우저 불필요) |
+| X (Twitter) API | 내부 GraphQL API + queryId 동적 추출 |
 | 세션 관리 | JSON 파일 (`~/.viruagent-cli/`) |
 | Rate Limiting | 유저별 영속 카운터 + 랜덤 딜레이 |
 | 이미지 검색 | DuckDuckGo, Wikimedia Commons |

README.md

@@ -29,6 +29,7 @@ Designed not for humans, but for **AI agents**.
 | **Tistory** | Playwright (Kakao) | Publish, Draft, Categories, Image Upload | [Guide](docs/en/guide-tistory.md) |
 | **Naver Blog** | Playwright (Naver) | Publish, Categories, SE Editor, Image Upload | [Guide](docs/en/guide-naver.md) |
 | **Instagram** | HTTP (No Browser) | Like, Comment, Follow, Post, Profile, Feed, Rate Limit | [Guide](docs/en/guide-instagram.md) |
+| **X (Twitter)** | HTTP (Cookie Auth) | Tweet, Like, Retweet, Follow, Search, Timeline, Media Upload | [Guide](docs/en/guide-x.md) |
 
 ## How It Works
 
@@ -95,6 +96,15 @@ npx viruagent-cli login --provider insta --username <id> --password <pw>
 >
 > See the [Instagram Guide](docs/en/guide-instagram.md) for full API reference and rate limit rules.
 
+### X (Twitter)
+
+```bash
+npx viruagent-cli login --provider x --auth-token <token> --ct0 <ct0>
+```
+> Extract `auth_token` and `ct0` cookies from your browser. No password login — cookie-based auth only.
+>
+> See the [X Guide](docs/en/guide-x.md) for full API reference, GraphQL sync, and rate limit rules.
+
 ## Usage
 
 | Say this | Agent handles |
@@ -107,12 +117,17 @@ npx viruagent-cli login --provider insta --username <id> --password <pw>
 | "Analyze and comment on @user's feed" | analyzePost → AI generates comment → comment |
 | "Follow @user" | Login → follow (with delay) |
 | "Check Instagram rate limit" | rate-limit-status → show counters |
+| "Tweet this text" | X login → publish (with rate limit) |
+| "Search X for AI tools" | search → return results |
+| "Like and follow IT devs on X" | search → like + follow (with delays) |
+| "Show my X timeline" | getFeed → show latest tweets |
 
 ## Platform Guides
 
 - **[Tistory Guide](docs/en/guide-tistory.md)** — Blog publishing, image upload, categories
 - **[Naver Blog Guide](docs/en/guide-naver.md)** — SE Editor, blog publishing, image upload
 - **[Instagram Guide](docs/en/guide-instagram.md)** — 18 API methods, rate limits, AI commenting
+- **[X (Twitter) Guide](docs/en/guide-x.md)** — GraphQL API, dynamic queryId sync, rate limits
 
 ## Supported Environments
 
@@ -129,6 +144,7 @@ npx viruagent-cli login --provider insta --username <id> --password <pw>
 | CLI Framework | Commander.js |
 | Browser Automation | Playwright (Tistory, Naver only) |
 | Instagram API | Pure HTTP fetch (no browser) |
+| X (Twitter) API | Internal GraphQL API with dynamic queryId extraction |
 | Session Management | JSON file (`~/.viruagent-cli/`) |
 | Rate Limiting | Per-user persistent counters with random delays |
 | Image Search | DuckDuckGo, Wikimedia Commons |

docs/en/guide-x.md

@@ -0,0 +1,116 @@
+# X (Twitter) Guide
+
+X automation via internal GraphQL API. Works via pure HTTP — no browser needed for reads. Cookie-based authentication.
+
+## Login
+
+Extract `auth_token` and `ct0` cookies from your browser (DevTools → Application → Cookies → x.com).
+
+```bash
+npx viruagent-cli login --provider x --auth-token <auth_token> --ct0 <ct0>
+```
+
+### Environment Variables
+
+```bash
+export X_AUTH_TOKEN=<auth_token cookie>
+export X_CT0=<ct0 cookie>
+
+# With env vars set, flags can be omitted
+npx viruagent-cli login --provider x
+```
+
+### Session Duration
+
+The `auth_token` cookie is valid for **~1 year**. The `ct0` (CSRF token) may rotate but is auto-refreshed.
+
+## Features (16 Methods)
+
+### Authentication
+| Command | Description |
+|---------|-------------|
+| `login` | Set auth_token + ct0 cookies, verify via Viewer query |
+| `auth-status` | Check login status, show username and metadata |
+| `logout` | Clear session and provider metadata |
+
+### Read Operations
+| Command | Description |
+|---------|-------------|
+| `get-profile --username <name>` | User profile (followers, tweets, bio, etc.) |
+| `get-feed` | Home timeline (latest tweets from followed accounts) |
+| `list-posts --username <name>` | User's tweets |
+| `read-post --post-id <id>` | Tweet detail (likes, retweets, replies, media) |
+| `search --query <text>` | Search tweets |
+
+### Write Operations
+| Command | Description |
+|---------|-------------|
+| `publish --content <text>` | Post a tweet (with optional media) |
+| `delete --post-id <id>` | Delete a tweet |
+
+### Interactions
+| Command | Description |
+|---------|-------------|
+| `like --post-id <id>` | Like a tweet |
+| `unlike --post-id <id>` | Unlike a tweet |
+| `retweet --post-id <id>` | Retweet |
+| `unretweet --post-id <id>` | Undo retweet |
+| `follow --username <name>` | Follow a user |
+| `unfollow --username <name>` | Unfollow a user |
+
+### Utilities
+| Command | Description |
+|---------|-------------|
+| `rate-limit-status` | Show current rate limit counters |
+| `sync-operations` | Force re-sync GraphQL queryIds from x.com |
+
+## GraphQL QueryId Dynamic Sync
+
+X uses internal GraphQL APIs where each operation has a `queryId` that **changes on every X deployment**. viruagent-cli handles this automatically:
+
+1. Fetches `https://x.com` HTML → extracts `main.{hash}.js` URL
+2. Downloads main.js → parses all `queryId` / `operationName` / `featureSwitches` mappings
+3. Caches to `~/.viruagent-cli/x-graphql-cache.json` (1-hour TTL)
+4. On API failure (stale queryId) → auto re-syncs and retries
+
+Currently extracts **166 GraphQL operations** including CreateTweet, DeleteTweet, FavoriteTweet, UserByScreenName, SearchTimeline, HomeLatestTimeline, etc.
+
+## Rate Limits
+
+New account (0–30 days):
+
+| Action | Delay | Hourly | Daily |
+|--------|-------|--------|-------|
+| Tweet | 120–300s (2–5min) | 10 | 50 |
+| Like | 30–60s | 15 | 200 |
+| Retweet | 60–120s | 10 | 50 |
+| Follow | 120–180s | 10 | 100 |
+| Unfollow | 120–180s | 8 | 80 |
+
+- Hard cap: 2,400 tweets/day (includes replies and quotes)
+- **226 error** = automated behavior detected → wait 12–48 hours
+- Counters persist in session file across CLI restarts
+- Random jitter applied to all delays (±30%)
+
+### 226 Error Triggers
+
+- Burst actions without human-like variance
+- Repetitive content
+- Write-only patterns (no read behavior)
+- New account + high volume
+- Fixed intervals between actions
+
+## Media Upload
+
+Supports image upload via chunked upload to `upload.x.com`:
+
+```bash
+npx viruagent-cli publish --provider x --content "Hello world" --media /path/to/image.jpg
+```
+
+## Notes
+
+- **Read operations** (profile, timeline, search) work reliably via HTTP API
+- **Write operations** (tweet, retweet) may trigger 226 on new accounts — use browser fallback if needed
+- **Like/unlike, follow/unfollow** work via HTTP API even on new accounts
+- GraphQL queryIds are automatically refreshed — no manual maintenance needed