by 安全扫描
OpenClaw
可疑
medium confidence该技能的指令与其声明的目的(添加按调用次数付款的计费)一致,但依赖于不透明的第三方端点,并未提供处理 API 密钥、提款或资金的安全或运营细节 — 请谨慎使用。
评估建议
该技能概念上是连贯的 — 它展示了如何通过调用第三方 API 添加按调用次数付款的计费 — 但它依赖于不透明的外部服务(skillpay.gpupulse.dev),无源代码、主页或运营商信息。使用前:1) 验证运营商,审查其 API 文档、隐私政策和安全/审计历史。2) 将任何 sp_usr_/sp_bld_ API 密钥和钱包地址视为高度敏感:存储在秘密管理器中(不硬编码),使用最小权限,旋转密钥。3) 使用最小资金或沙盒/测试模式进行测试;确认提款机制和任何 KYC/费用。4) 审查您的代理将进行的网络调用并确认您信任目标(TLS、有效证书、预期域)。5) 如果无法验证第三方,请考虑通过已知的可审计提供商实现付款或运行自己的计费后端。额外有帮助的信息将改变评估:源代码或仓库、运营商身份/联系信息、官方文档、安全/审计报告以及安全密钥处理和提款授权的清晰指示。...详细分析 ▾
✓ 用途与能力
名称/描述(添加基于信用付款)与提供的 curl 和 Python 示例一致,注册用户/构建者,购买信用,按调用次数收费,并提取资金。显示的 API 与商业化目的相符。
⚠ 指令范围
运行时指令将代理/技能指向 https://skillpay.gpupulse.dev 发送 API 密钥和支付操作。文档未描述身份验证存储、密钥旋转、如何授权提款或任何隐私/KYC/法律控制。网络调用将向外部服务传输用户和构建者密钥以及交易数据;这对于支付集成是预期的,但缺乏来源和运营细节是有风险的。
✓ 安装机制
仅指令的技能,无安装步骤或外部包。技能本身不会将内容写入磁盘,从而最小化直接安装风险。
ℹ 凭证需求
技能未声明任何必需的环境变量或二进制文件,但其工作流程需要存储和传输敏感的承载 API 密钥(sp_usr_..., sp_bld_...)和用于提款的钱包地址。SKILL.md 未指示如何/在哪里安全存储这些秘密;对于仅指令的文档,请求无声明的环境变量是合理的,但开发人员仍需要将敏感密钥添加到技能的运行时 — 集成时应考虑这一点。
✓ 持久化与权限
始终为 false,并且没有安装时持久性请求。技能不请求任何提升的代理权限或对其他技能配置的修改。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/12
初始发布 — 为任意 OpenClaw 技能添加基于信用付款的支付功能
● 无害
安装命令 点击复制
官方npx clawhub@latest install skill-pay
镜像加速npx clawhub@latest install skill-pay --registry https://cn.clawhub-mirror.com
技能文档
概述
为任意 OpenClaw 技能添加基于信用付款的支付功能。使用场景
适用于用户想要对技能调用收费的场景。安装与使用
[保留原始安装与使用指令,不翻译]代码示例
[保留原始代码块,不翻译]提款机制
[保留原始提款机制描述,不翻译][保留 YAML frontmatter 不翻译]
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制