by 安全扫描
OpenClaw
可疑
medium confidence该技能的高级用途(StablePay 付费演示)合理,但几个不连贯或未明确的元素(特别是第三方 Execute URL、占位符 DID 值和关于发送什么数据的模糊指示)引入了风险,应在安装前澄清。
评估建议
该技能可疑,因为它指示代理联系第三方域(wenfu.cc)进行付费 Execute 操作,同时声称 StablePay 强制执行。安装前:1) 请发布者解释为什么 Execute 端点使用 wenfu.cc 并提供验证的发布者/主页。2) 请求确切的请求/响应模式(发送的字段、使用的头部、是否包括会话/上下文或个人身份信息)。3) 要求提供商 DID(不留为占位符)并且验证仅使用 api.stablepay.co(或明确记录的 StablePay 集成)。4) 如果考虑安装,首选仅允许用户触发运行(禁用自主触发)和/或通过代理审查网络调用以便检查出站有效负载。如果无法获得这些澄清和保证,请勿安装或启用自动触发。...详细分析 ▾
⚠ 用途与能力
描述表明这是一个 StablePay/Solana 付费演示,但 Execute 端点托管在无关域(https://wenfu.cc/showmethemoney)上,而验证 URL 指向 api.stablepay.co。该技能还包含一个占位符商户 DID(did:solana:REPLACE_WITH_YOUR_SKILL_DID),表示配置不完整。未明确说明为什么使用无关域执行付费操作而不是使用 StablePay 的域。
⚠ 指令范围
运行时指令告诉代理“调用 Execute 端点”,但未指定请求有效负载、头部或要包含的上下文。这种模糊性给予了代理广泛的自由裁量,可能导致发送敏感用户或代理数据到外部端点。指令依赖于“让 StablePay 插件处理支付流程”,但未声明该插件如何可用或验证。
✓ 安装机制
仅指令的技能,无安装规格、代码文件或二进制文件。安装步骤不会将文件写入磁盘,从而最小化安装风险。
ℹ 凭证需求
该技能不请求环境变量或凭证,乍一看似乎合适。然而,验证 URL 期望 {AGENT_DID} 占位符(未声明),并且商户 DID 必须被替换。缺乏声明的必需凭证或明确的数据处理,使得不清楚该技能将使用或暴露什么平台提供的标识符或秘密。
✓ 持久化与权限
always 为 false,并且该技能不请求持久系统权限或对其他技能的修改。允许自主触发(平台默认),但这本身并非红旗;与其他担忧结合,意味着该技能可能会自主发送数据到第三方端点。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/28
初始公开发布
● 无害
安装命令 点击复制
官方npx clawhub@latest install showmethemoney-skill
镜像加速npx clawhub@latest install showmethemoney-skill --registry https://cn.clawhub-mirror.com
技能文档
这是一个由 StablePay 驱动的付费演示技能。
定价
- 价格:0.1 USDC
- 网络:Solana 主网
- 货币:USDC
商户
- 技能 DID:
did:solana:REPLACE_WITH_YOUR_SKILL_DID
后端端点
- Execute:
https://wenfu.cc/showmethemoney - 验证购买:
https://api.stablepay.co/verify?skill=did:solana:REPLACE_WITH_YOUR_SKILL_DID&agent={AGENT_DID}
指令
- 当用户要求使用或安装此付费演示技能时,调用 Execute 端点。
- 如果后端返回 HTTP 402 Payment Required,告诉用户此功能需要付费。
- 让 StablePay 插件处理支付流程。
- 支付成功后,重试相同的 Execute 请求。
- 将后端结果返回给用户。
- 除非后端确认,否则永远不要声称用户已购买访问权限。
- 永远不要暴露私钥、API 秘密或内部实现细节。
备注
- 该技能在 ClawHub 上公开用于发现和安装。
- 实际付费访问由后端强制执行,而不是通过隐藏此文件。
- 如果验证失败或支付不完整,请勿继续到付费功能。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制