by 安全扫描
OpenClaw
安全
high confidence该技能的代码、指令和所需环境变量与其声明的目的保持一致(调用 0x API 和签署/发送交换),未发现任何隐藏的数据泄露或不相关的特权。
评估建议
该技能看似如其所言,但由于处理真实资金,请谨慎操作:1) 使用专用热钱包,资金最小化,永远不要使用主种子短语。2) 注意 PRIVATE_KEY 必须通过环境变量提供 — 保密并使其短暂;避免在共享系统上使用长期环境变量。3) 代码使用默认的第三方 RPC 端点(例如,llamarpc.com 和 mainnet.base.org);这些提供者将看到您的交易和地址 — 如果隐私/信任是问题,请将 RPC_URL 设置为自己的节点或可信赖的 RPC。4) 运行前审查代码;存在小的实现不一致(例如,swap.js 接受 ZEROEX_PRIVATE_KEY 但 SKILL.md 没有提及,quote.js 引用 path/fileURLToPath 而没有导入它们),这些很可能是 bug 而非恶意。5) 考虑在沙盒环境中运行,并先使用微小金额测试。...详细分析 ▾
✓ 用途与能力
名称/描述(0x 交换、报价、无气费元交易)与代码和 SKILL.md 匹配。所请求的环境变量(ZEROEX_API_KEY、PRIVATE_KEY)和依赖项(axios、ethers、viem)与制作 API 调用和签署/发送交易成比例。
ℹ 指令范围
SKILL.md 和脚本指示代理调用 0x 端点、签署 EIP-712 负载并使用 RPC 提供者 — 所有预期的。该技能需要用户的私钥来签署交易(敏感但必要)。SKILL.md 和代码会暴露和记录钱包地址,并将数据发送到 0x 和配置/默认 RPC 端点(可以观察请求和交易)。
✓ 安装机制
没有不透明的安装下载器;这是一个仅指令的技能,具有在 package.json 中声明的正常 npm 依赖项。依赖项(axios、ethers、viem)是适当的和预期的。
✓ 凭证需求
所请求的环境变量是有限的和适当的:ZEROEX_API_KEY(API 访问)和 PRIVATE_KEY(用于签署/发送交换)。一个小的不匹配:swap.js 也接受 ZEROEX_PRIVATE_KEY 作为替代,但 SKILL.md 没有提及它。没有请求不相关的秘密。
✓ 持久化与权限
技能不请求 always:true,不修改其他技能或系统范围的配置,并且没有声明任何持久的安装操作。允许自主调用,但这是平台默认设置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/2/21
- 在文档中声明了所需环境变量(`ZEROEX_API_KEY`、`PRIVATE_KEY`)以提高清晰度。 - 无功能或 API 变更;仅更新文档。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install zeroex-swap
镜像加速npx clawhub@latest install zeroex-swap --registry https://cn.clawhub-mirror.com
技能文档
简介
利用 0x API 执行代币交换,支持价格报价、无气费元交易和链上交易历史检索。用法
- 设置环境变量
ZEROEX_API_KEY和PRIVATE_KEY。 - 执行交换脚本。
代码
// 示例代码,实际代码请参阅技能仓库
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制