首页龙虾技能列表 › A2A SHIB Payment System — A2A SHIB 支付系统 — 无信任中介的 Polygon 上 SHIB 付款系统

A2A SHIB Payment System — A2A SHIB 支付系统 — 无信任中介的 Polygon 上 SHIB 付款系统

v2.0.0

一个框架无关的代理到代理(A2A)支付系统,运行于 Polygon 网络,使用 SHIB 代币。提供无信任中介的托管服务、价格谈判机制和评誉系统。与传统托管系统相比,成本降低了 9,416 倍(约 0.003 美元的 gas 费)。

0· 997·1 当前·1 累计
by @marcus20232023 (Marc Smith)·MIT-0
下载技能包
License
MIT-0
最后更新
2026/4/11
安全扫描
VirusTotal
可疑
查看报告
OpenClaw
可疑
medium confidence
虽然该技能的代码和文档实现了 A2A SHIB 支付/托管系统,但存在多个不匹配和操作指令,增加了泄露秘密和远程资金丢失的风险。**请勿在解决这些问题和审查认证/备份/暴露控制之前在生产系统上安装或暴露该技能**。
评估建议
["在非控制的机器/网络上,请勿使用真实私钥运行。代码预期使用钱包私钥(敏感)。优先使用硬件钱包或签名代理;尽量避免在普通 `.env` 文件中放置生产私钥。","注册元数据未声明所需环境变量,但 SKILL.md 声明了 — 这是一致性问题。请发布者修复元数据并明确记录所需环境变量名和秘密存储位置。","检查 `package.json` 并运行 `npm audit`。审查 `auth.js`、`rate-limiter.js` 和 `audit-logger.js` 以确认 API 密钥和权限执行情况。验证代理不接受可以移动资金的未经认证的 JSON-RPC 命令。","在验证认证、速率限制和请求验证之前,请勿将代理暴露于公网。文档建议使用 Cloudflare Tunnel 和 systemd — 如果正确安全配置则无问题,但 README 目前缺乏可执行的默认 API 认证。","审查备份和导出脚本:部署文档提议备份 `.env.local` 和状态文件;确保备份加密并访问受控以避免秘密泄漏。","检查是否有遥测、保存到 Qdrant 的行为或代理推送数据的远程端点;如果必须...
详细分析 ▾
用途与能力
技能名称/描述与代码内容匹配(支付、托管、谈判、评誉)。然而,注册元数据未声明所需环境变量,而 SKILL.md 和多个文档要求钱包私钥(WALLET_PRIVATE_KEY / POLYGON_PRIVATE_KEY)、RPC_URL 和 SHIB_CONTRACT_ADDRESS。这种不一致性应该在信任技能之前修复。
指令范围
运行时指令告诉操作员将私钥放在 `.env.local` 中,运行代理(`node a2a-agent-full.js`),并可选地通过 Cloudflare Tunnel / systemd / Docker 暴露它。代理接受格式自由的 A2A JSON-RPC 文本命令,直接映射到支付/托管操作。如果 HTTP 端点没有锁定,远程行为者可能会触发支付。文档还建议备份 `.env.local` 和状态文件(潜在秘密泄漏)并将文档保存到 Qdrant — 两者都引发了保密问题。文档中也存在不一致的环境变量名(WALLET_PRIVATE_KEY vs POLYGON_PRIVATE_KEY)。
安装机制
安装是一个本地 npm 安装(包:``)。安装规范中未使用外部任意下载 URL,这比获取远程二进制文件的风险更低。然而,在安装之前,您仍应检查 `package.json` 依赖项并运行 `npm audit`。
凭证需求
对于支付代理,请求钱包私钥是预期的,但这是一个高度敏感的凭证。注册元数据未列出所需环境变量,与 SKILL.md 不一致。技能还引用了其他可能的敏感配置(auth-config.json、审计日志、Qdrant 存储、备份)而没有明确声明相应的所需环境变量或访问控制 — 这是不成比例的,并增加了攻击面。
持久化与权限
技能不请求 `always:true`,默认自主权被允许(正常)。它建议作为 systemd 服务安装并通过 Cloudflare Tunnel 或 Docker 暴露,这会在您遵循文档时给予它持久、网络暴露的存在。持久暴露与不充分描述的认证控制相结合是有风险的,但对于网络支付代理,持久性本身并非固有不一致。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv2.0.02026/2/11

主要更新:代理到代理 SHIB 支付技能现在生产就绪,具有扩展的托管、谈判和评誉功能。- 添加了带有时间锁、争议解决和 6 状态机的无信任中介托管。- 引入了多轮价格谈判和自动托管集成。- 启动了星级评分和动态评誉系统,带有徽章和代理验证。- 实现了 API 密钥认证、粒度化速率限制和不可变的审计日志。- 完全文档化:详细设置、配置、集成和安全强化指南。- 支持领先的代理框架(OpenClaw、LangChain、AWS Bedrock、AutoGen)。

● 可疑

安装命令 点击复制

官方npx clawhub@latest install a2a-shib-payments
镜像加速npx clawhub@latest install a2a-shib-payments --registry https://cn.clawhub-mirror.com

技能文档

介绍

一个框架无关的代理到代理(A2A)支付系统,运行于 Polygon 网络,使用 SHIB 代币。提供无信任中介的托管服务、价格谈判机制和评誉系统。与传统托管系统相比,成本降低了 9,416 倍(约 0.003 美元的 gas 费)。

特性

  • 无信任中介托管:带有时间锁、争议解决和 6 状态机。
  • 多轮价格谈判:自动托管集成。
  • 动态评誉系统:星级评分、代理验证和徽章。
  • 安全强化:API 密钥认证、粒度化速率限制和不可变审计日志。
  • 全面文档:详细设置、配置、集成和安全指南。
  • 框架支持:OpenClaw、LangChain、AWS Bedrock、AutoGen。

安装与运行

npm install
node a2a-agent-full.js

配置

请参考 SKILL.md 中的详细配置指南,包括环境变量设置、Cloudflare Tunnel 和 systemd 部署。

注意:在生产环境中使用前,确保审查和解决所有安全建议。

数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制

了解定制服务