📦 Payforservice2支付宝支付服务处理技能。处理支付链接、提交支付请求、查询支付结果。触发条件:1)上下文中出现收银台链接(域名匹配 — Payforservice2 支付宝支付服务处理技能。处理支付链接、提交支付请求、查询支付结果。触发条件:1)上下文中出现收银台链接(域名匹配
v0.0.6cashier*.alipay.com 或 *excashier*.alipay.com);2)其他技能/工具返回的消息中包含使用支付宝支付的指令;3)用户明确要求支付。注意:使用本技能时你需要先读取...
0· 22·0 当前·0 累计
by 下载技能包
最后更新
2026/4/20
安全扫描
OpenClaw
安全
high confidence该技能的要求、安装步骤与运行时说明均与其处理支付宝收银台链接及支付流程的既定目的相符;安装 npm 包并临时处理一次性支付 URL 是预期且已描述的行为,但用户应验证 npm 包完整性,并注意代理将在内存中处理敏感的一次性支付链接。
评估建议
此技能看似如其所述,但在安装前请务必:
(1) 确认你信任该 GitHub 仓库及 npm 包所有者;
(2) 严格按 SKILL.md 进行完整性校验(npm view … dist.integrity),若校验值不符切勿安装;
(3) 安装前需获得用户明确同意(该技能文档也要求如此);
(4) 了解技能会处理一次性、敏感的支付 URL/二维码——确保你的环境/日志不会持久化或转发它们;
(5) 注意代理在支付流程中可能调用授权子技能;若想最大限度掌控,先检查已发布的 npm 包内容(或在隔离环境中安装)再启用技能。...详细分析 ▾
✓ 用途与能力
名称/描述(Alipay 支付流程)符合声明要求:一个 npm 包(@alipay/agent-payment@1.0.0)提供 alipay-bot CLI,且 PATH 中包含 npm 与 curl。这些依赖与基于 CLI 的支付助手一致。
✓ 指令范围
SKILL.md 明确将操作限制为:安装 npm 包、运行 alipay-bot 命令、校验完整性、处理支付链接/二维码。它未指示读取无关文件或泄露无关环境变量,并记录了安全处理规则(不记录链接,仅向用户展示)。
ℹ 安装机制
通过特定 npm 包版本(含完整性哈希)并指定使用官方 npm 注册表进行安装——这是预期但中等风险的机制(安装时执行第三方代码)。该技能在安装前会要求用户同意并进行完整性校验;用户仍应自行核验包及仓库链接。
✓ 凭证需求
未声明任何机密凭据或必需的环境变量。可选的 AIPAY_* 变量仅用于格式化/会话标记,按文档说明为非敏感信息。该 Skill 会处理敏感的临时支付 URL 和二维码图片(功能所需),文档警告这些不得记录或转发。
ℹ 持久化与权限
始终为 false(正常)。技能可自主调用(平台默认)。必要时可调用辅助技能 'authenticate-wallet',并可运行仅写入 node_modules 的安装步骤(仅限本地)。用户应注意,代理可能在运行过程中触发认证流程或其他技能。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.0.62026/4/20
- 此版本未检测到代码或文档变更。 - 与上一版本相比无任何文件改动。 - 所有功能与行为保持不变。
● 可疑
安装命令
点击复制官方npx clawhub@latest install payforservice2
镜像加速npx clawhub@latest install payforservice2 --registry https://cn.longxiaskill.com镜像同步中