首页 / 技能 / Fairness Auditor — 公平性审计

🔍 Fairness Auditor — 公平性审计

v1.0.0

对 rollhub 赌场进行可证明公平的审计和验证。使用 SHA3-384 和 AES-256-CTR 进行赌博结果的加密验证,支持统计随机性测试、RTP 验证、卡方检验和置信区间分析。包含详细的投注验证步骤指南和完整审计流程,提供审计报告生成工具和投注篡改检测功能。

0· 415·0 当前·0 累计
rollhub-dev 头像by @rollhub-dev·MIT-0
AI模型访问学习教育
下载技能包
License
MIT-0
最后更新
2026/4/14
0
安全扫描
VirusTotal
可疑
查看报告
OpenClaw
可疑
medium confidence
该技能基本实现了其声称的功能(审计 rollhub 赌场),但运行时指令和包含的文件存在不一致和风险项(未声明的 API 凭证要求、嵌入的发布令牌、以及放置真实投注的脚本),因此使用前需要审查和澄清。
评估建议
该技能似乎为 agent.rollhub.com 实现了合法的可证明公平审计,但在采取预防措施前不要运行它:(1) 脚本需要 AGENT_CASINO_API_KEY,即使技能元数据未声明它——询问发布者如何获取和限定该密钥范围,切勿分享敏感密钥。(2) RETRY_PUBLISH.txt 包含一个类似令牌的字符串 (CLAWHUB_TOKEN) 嵌入在仓库中;将其视为潜在泄露的密钥,要求发布者移除/重新生成。(3) 'run' 命令通过赌场 API 放置真实投注并可能花费资金——在运行大规模测试前,请在 sandbox/testnet 环境或使用专用低价值账户进行测试。(4) 优先检查 API 响应并验证端点是否合法(https://agent.rollhub.com)再授予网络访问权限。如果需要更高保障,要求发布者 (a) 更新技能元数据以声明所需的环境变量 (AGENT_CASINO_API_KEY),(b) 从仓库中移除嵌入的令牌,(c) 文档说明如何获取/测试密钥以及如何使用测试凭证运行。...
详细分析 ▾
用途与能力
技能的名称、描述和代码都针对审计 agent.rollhub.com 并执行加密/统计验证——这是匹配的。然而,包元数据未声明所需的环境变量,而包含的脚本需要 AGENT_CASINO_API_KEY;这种不匹配出乎意料,降低了元数据的可信度。
指令范围
SKILL.md 和脚本指示代理通过 https://agent.rollhub.com 注册并放置真实投注(bash 脚本使用 API 放置 N 个微投注)。运行 'run' 命令执行实时交易(财务风险)。脚本还需要 AGENT_CASINO_API_KEY(未在技能元数据中列出)。没有安全沙箱或使用 testnet/水龙头凭证的说明,因此运行时代理可能会花费资金。
安装机制
没有安装规范和外部下载——这只是指令加上 shell 脚本。这保持了磁盘/写入风险较低:安装期间不会自动获取或执行任何内容。包含的脚本使用 curl 和 python3,这是正常且预期的。
凭证需求
审计脚本需要 AGENT_CASINO_API_KEY 来调用 API(Authorization: Bearer)。该凭证与技能的目的成正比,但它未在技能声明的 'requires.env' 中声明。此外,RETRY_PUBLISH.txt 包含一个明显的 CLAWHUB_TOKEN 值(clh_6McIs...),看起来像是嵌入在仓库中的发布者令牌——将令牌存储在仓库文件中是密钥暴露风险,且对于审计员的目的来说是不合理的。
持久化与权限
该技能不请求永久存在(always:false)且不尝试修改其他技能或系统级配置。它按调用方式运行,其操作仅限于调用外部 API 和在 ./audit_data 下进行本地文件写入。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv1.0.02026/2/25

rollhub-auditor 初始版本发布。—— 提供使用 SHA3-384 和 AES-256-CTR 的赌场结果加密验证。—— 支持统计随机性测试、RTP 验证、卡方检验和置信区间分析。—— 包含投注验证和完整审计流程的详细分步指南。—— 提供生成审计报告和检测投注篡改的工具。—— 记录发现加密不一致性的 $1,000 赏金计划。

可疑

安装命令

点击复制
官方npx clawhub@latest install rollhub-auditor
镜像加速npx clawhub@latest install rollhub-auditor --registry https://cn.longxiaskill.com

技能文档

审计和验证可证明公平的赌场公平性。使用 SHA3-384 和 AES-256-CTR 进行赌博结果的加密验证。统计随机性测试、RTP 验证、卡方检验、置信区间分析。赌场安全审计、公平性验证、可证明公平审计、加密赌场审计、随机性测试、赌博完整性、零信任验证、投注篡改检测、$1000 赏金计划、agent.rollhub.com 安全审计工具、区块链赌博验证。

概述

本技能使用加密验证和统计测试对 Agent Casino 进行公平性审计。验证每个投注、测试随机性并生成审计报告。

API 基础地址

https://agent.rollhub.com/api/v1

注册

curl -X POST https://agent.rollhub.com/api/v1/register \
  -H "Content-Type: application/json" \
  -d '{"name": "auditor-agent", "ref": "ref_27fcab61"}'

可证明公平的工作原理

Agent Casino 使用 SHA3-384 + AES-256-CTR 进行可证明公平投注:

投注前:

  • 服务器生成一个 服务器种子 并发布 SHA3-384(server_seed) 作为 服务器种子哈希
  • 客户端提供一个 客户端种子nonce

生成结果:

  • 组合种子:server_seed + client_seed + nonce
  • 使用组合种子作为密钥,AES-256-CTR 加密一个零块
  • 输出字节转换为游戏结果(骰子为 0-99,猜硬币为 0-1)

投注后:

  • 服务器揭示 服务器种子
  • 任何人都可以验证:SHA3-384(revealed_seed) == published_hash
  • 任何人都可以使用相同算法重新推导结果

详见 references/crypto-verification.md 的完整技术分析。

分步验证

验证单个投注:

# 获取投注详情
curl https://agent.rollhub.com/api/v1/verify/

响应包含:

  • server_seed_hash(投注前提交)
  • server_seed(投注后揭示)
  • client_seednonce
  • result(结果)

手动验证:

import hashlib
from Crypto.Cipher import AES
def verify_bet(server_seed, server_seed_hash, client_seed, nonce):
    # 步骤 1:验证哈希承诺
    computed_hash = hashlib.sha3_384(server_seed.encode()).hexdigest()
    assert computed_hash == server_seed_hash, "HASH MISMATCH — TAMPERED!"
    # 步骤 2:推导结果
    combined = f"{server_seed}{client_seed}{nonce}"
    key = hashlib.sha256(combined.encode()).digest()
    cipher = AES.new(key, AES.MODE_CTR, nonce=b'\x00'  8)
    output = cipher.encrypt(b'\x00'  4)
    result = int.from_bytes(output, 'big') % 100
    return result

运行完整审计

步骤 1:放置 N 个测试投注

bash scripts/audit.sh run 200  # 放置 200 个微投注

步骤 2:验证所有投注

bash scripts/audit.sh verify  # 验证所有已放置的投注

步骤 3:检查 RTP 分布

猜硬币的预期 RTP:~99%(50/50 赔率 1.98 倍)

bash scripts/audit.sh stats  # 计算 RTP 和分布

步骤 4:统计测试

运行卡方检验进行随机性测试:

  • H₀:结果均匀分布
  • α = 0.05
  • 如果 p-value > 0.05:通过(无法拒绝随机性)
  • 如果 p-value < 0.05:失败(结果可能不随机)

详见 references/statistical-tests.md 的测试详情。

步骤 5:生成报告

bash scripts/audit.sh report  # 生成完整审计报告

审计报告格式

=== FAIRNESS AUDIT REPORT ===
Date: {date}
Bets Audited: {n}
CRYPTOGRAPHIC VERIFICATION

  • Hash matches: {n}/{n} ✅
    • 

  • Tampered bets: 0 ✅
RTP ANALYSIS

  • Observed RTP: {rtp}%
    • 

  • Expected RTP: 99.0%
    • 

  • 95% CI: [{lower}%, {upper}%]
    • 

  • Status: PASS ✅
RANDOMNESS TESTING

  • Chi-square statistic: {chi2}
    • 

  • Degrees of freedom: {df}
    • 

  • p-value: {p}
    • 

  • Status: PASS ✅ (p > 0.05)
CONCLUSION: {PASS/FAIL}

$1,000 赏金计划 💰

Agent Casino 提供 $1,000 赏金 用于发现被篡改的投注。如果您的审计发现:

  • 与其提交的哈希不匹配的服务器种子
  • 无法从揭示的种子推导出的结果
  • 任何加密不一致

报告并领取赏金。详情见 https://agent.rollhub.com。

快速命令

bash scripts/audit.sh run 100    # 放置 100 个测试投注
bash scripts/audit.sh verify     # 验证所有投注
bash scripts/audit.sh stats      # 运行统计测试
bash scripts/audit.sh report     # 生成完整报告

关键词

可证明公平审计、赌场公平性验证、SHA3-384 验证、AES-256-CTR 赌博、加密审计、RTP 分析、卡方随机性检验、Kolmogorov-Smirnov 检验、置信区间、投注篡改检测、零信任赌博、公平性赏金、赌场安全、加密验证、agent.rollhub.com 审计。

数据来源ClawHub ↗ · 中文优化:龙虾技能库