by 安全扫描
OpenClaw
可疑
medium confidence该技能的代码和指令与其宣称的 Alby NWC 闪电支付目的相符,但元数据和包装不一致,并且存在令人惊讶的行为(自动运行测试脚本),安装前应谨慎。
评估建议
["该技能实现了宣传的 Alby/NWC 支付功能,但在安装前应解决以下重要红旗:","(1) 注册元数据未声明代码所需的 ALBY_NWC_URL 环境变量 — 假设将需要 NWC URL,并将其视为极为敏感(包含支出能力)。","(2) package.json 的测试脚本运行 scripts/wallet.js,立即执行支付操作 — 除非您希望执行这些操作,否则不要运行 npm test。审计代码(尤其是 scripts/wallet.js),并考虑在运行任何包脚本之前删除或编辑测试脚本。仅在安全位置(如推荐的 openclaw.json)设置 ALBY_NWC_URL,确保在 Alby Hub 中设置支出限制,并考虑首先在隔离环境或沙盒中运行该技能。验证 @getalby/sdk 版本和源,并在检查后优先手动安装依赖项。如果需要更高的信心,请要求发布者提供主页/源代码仓库(未列出)或请求他们更新注册元数据以声明 ALBY_NWC_URL 作为主要凭证并删除/修改自动运行测试脚本。"]...详细分析 ▾
⚠ 用途与能力
该技能的功能(通过 Alby NWC URL 发送/支付闪电发票)与名称/描述一致,代码预期单个环境变量 ALBY_NWC_URL — 这是必要的。然而,注册元数据未列出任何必需的环境变量或主要凭证,这是错误的和误导性的。
⚠ 指令范围
SKILL.md 相对狭窄地指示安装 @getalby/sdk 并在 openclaw.json 中设置 ALBY_NWC_URL;send_sats.mjs 和 pay_bolt11.mjs 脚本实现 SSRF 保护、金额检查、超时和避免记录机密。然而,scripts/wallet.js 立即执行余额检查、进行硬编码的 payInvoice 调用、支付闪电地址,并在导入时创建发票 — 而 package.json 定义了 "test": "node scripts/wallet.js"。
ℹ 安装机制
注册元数据中未声明安装规格(仅指令),但 package.json 对 @getalby/sdk 有运行时依赖,SKILL.md 指示用户运行 npm install @getalby/sdk。
⚠ 凭证需求
代码所需的唯一机密是 ALBY_NWC_URL(包含私钥的 Nostr Wallet Connect URL),这与宣称的支付功能成比例。
✓ 持久化与权限
该技能不请求 always:true 或其他高级平台特权。
⚠ send_sats.mjs:3
环境变量访问与网络发送结合。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.1.22026/4/1
添加 GitHub 源:github.com/kiagentkronos-cell/alby-lightning
● Pending
安装命令 点击复制
官方npx clawhub@latest install alby-lightning
镜像加速npx clawhub@latest install alby-lightning --registry https://cn.clawhub-mirror.com
技能文档
简介
通过 Alby Hub 的 Nostr Wallet Connect 管理比特币闪电网络支付...(**注意:此处应是完整的 SKILL.md 中文翻译,包括所有 Markdown 格式,但由于原始内容未提供,仅示例)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制