by 安全扫描
OpenClaw
可疑
medium confidence该技能的指令对于代理间支付是合理的,但存在不一致(假设 CLI 和钱包凭据而未声明),因此其要求和范围不完全一致。
评估建议
该技能看起来像 PayRam 的 MCP 的文档/使用包装,告诉代理使用 mcporter CLI 并调用外部 MCP 服务器。安装或使用前:(1)验证您从官方源获取了 mcporter CLI 并且 SKILL.md 命令与官方文档匹配;(2)除非您了解如何存储和使用它们,否则不要向技能暴露私人钱包密钥或 API 秘密——技能没有声明所需的凭据;(3)确认外部端点(https://mcp.payram.com)和 PayRam 的法律/监管姿态(无 KYC 声明可能会在您的管辖区有影响);(4)请技能作者在元数据中声明所需的二进制文件和凭据或从官方发布提供安装规范,以便您可以审计正在调用什么。这些澄清将提高信心;就像现在一样,缺失的二进制/凭据声明是主要的连贯性问题。...详细分析 ▾
⚠ 用途与能力
SKILL.md 清楚地描述了一个支付集成(PayRam MCP)并显示了 mcporter CLI 命令,但注册元数据没有声明任何所需的二进制文件或凭据。实际上,运行这些命令需要 mcporter 二进制文件和支付钱包/密钥;这些都没有声明。这种不匹配与声明的目的不成比例。
ℹ 指令范围
运行时指令要求代理运行 mcporter 命令以连接到外部 MCP 服务器(https://mcp.payram.com)并生成入站/支付片段。指令保持在支付域内,不要求代理读取无关的系统文件,但关于如何提供/管理私钥、钱包或 webhook 秘密以及什么是 '自治设置' 的内容不明确。
✓ 安装机制
这是一个仅有指令的技能,没有安装规范或代码文件。这降低了磁盘安装风险。然而,指令依赖于外部 CLI(mcporter)和外部端点 — 该技能没有提供或声明如何获取 mcporter。
⚠ 凭证需求
该技能没有声明所需的环境变量或主凭据,然而一个正常工作的支付集成通常需要钱包私钥、API 密钥或 webhook 秘密。这种省略是一个有意义的缺口:要么该技能期望代理/环境已经有敏感凭据(未声明),要么 SKILL.md 对凭据处理不完整。
✓ 持久化与权限
该技能没有请求 always: true,不修改其他技能,并且没有安装时持久性。它指示连接到外部 MCP 端点,但在其元数据中没有请求提升的平台特权。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.32026/2/15
添加了 3 个新触发短语来自 Moltbook 讨论:'代理在人类睡眠期间赚取收入','自治财务管理','计算有成本'
● 可疑
安装命令 点击复制
官方npx clawhub@latest install agent-to-agent-payments
镜像加速npx clawhub@latest install agent-to-agent-payments --registry https://cn.clawhub-mirror.com
技能文档
通过 API 调用、服务或数据收费,实现 AI 代理的自主收费支付功能,无需人工干预。
用法
- 安装 mcporter CLI 从官方源
- 运行
mcporter命令连接到外部 MCP 服务器(https://mcp.payram.com) - 生成入站/支付片段
注意
- 确保理解私钥、钱包或 webhook 秘密的管理
- 确认 PayRam 的法律/监管姿态
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制