by 安全扫描
OpenClaw
可疑
medium confidence虽然该技能的目的(在 Base 上部署代币)合理,但包中缺少关键声明(使用您的钱包私钥和从外部共享模块中提取的 RPC 常量,而此模块未包含在内),因此在运行任何命令或提供机密信息之前,应谨慎处理这些不一致性。
评估建议
除非您完全信任并审计了源代码和链上合约,否则不要导出主钱包私钥或运行包含的脚本。具体关注点:(1)SKILL.md 和代码要求 BASE_PRIVATE_KEY,但元数据未声明此项——这是一个红色警告信号。(2)脚本导入不在包中的共享模块(../../../shared/contracts.js 和 ../../../shared/abis.js),执行将依赖主机提供的文件(包括 CHAIN.RPC),您无法在此处审查这些文件。(3)运行建议的 npx 命令将在运行时获取 npm 包。如果您仍想测试:使用一个仅有少量 gas 的可抛弃钱包,检查 GitHub 仓库中的引用的合约/ABI(验证工厂和锁定器地址与链上匹配),并在沙盒环境中运行命令。如果您需要更高的保证,请请求缺失的共享文件和完整仓库链接(或签名发布),并在提供任何私钥之前审计智能合约。...详细分析 ▾
⚠ 用途与能力
名称/描述与包含的 TypeScript 脚本匹配:代码在 Base 上通过 Uniswap V4 执行代币创建、费用声明和交换,这合理地需要一个钱包私钥和一个 RPC 端点。然而,技能元数据声明了没有所需的环境变量或主要凭证,而 SKILL.md 和代码都需要 BASE_PRIVATE_KEY 和一个从缺失的共享模块导入的 CHAIN.RPC 值。这种不匹配是实质性的连贯性问题。
⚠ 指令范围
运行时指令明确指示用户导出 BASE_PRIVATE_KEY 并运行 npx tsx 脚本;代码将签名和广播交易(createToken、createTokenFor、claimFees、swaps)。脚本还允许代表另一个创作者创建代币(中继模式),因此使用密钥运行它们可以用于路由费用或创建为第三方信用代币。代码导入不在包中的../../../shared/contracts.js 和 ../../../shared/abis.js;这意味着执行依赖于外部主机提供的文件和值(例如,CHAIN.RPC),这意外地扩大了将要读取/执行的范围。
ℹ 安装机制
没有安装规范,但包中包含声明 viem 和其依赖项的 package.json 和 package-lock.json。运行建议的命令(npx tsx ...)将获取/运行 Node 包(通过 npm/npx/tsx)。这是一个中等风险,因为它在运行时从 npm 拉取依赖项;包中未在元数据中声明所需的系统二进制文件(node、npx、tsx)。
⚠ 凭证需求
技能需要一个私钥(BASE_PRIVATE_KEY)来签署交易——对于一个启动器来说这是预期的,但元数据未声明它。代码还依赖于从外部共享模块(未包含)中的 CHAIN.RPC,这意味着技能可能使用主机环境提供的 RPC 设置。请求完整的私钥是敏感的;SKILL.md 未警告用户使用一次性或仅 gas 的钱包。中继选项(--creator)允许代表另一个创作者创建代币,如果不正确审计,可能会被滥用以转移收入。
✓ 持久化与权限
技能不是始终启用,不请求平台范围的持久性,也不尝试修改其他技能或代理配置。它仅在被调用时运行。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv2.1.02026/2/2
从 pumpclaw-base 迁移。更新了 ERC-8004 代理 ID 为 17197。为 Base 上的 AI 代理提供收入基础设施。
● 无害
安装命令
点击复制官方npx clawhub@latest install token-launcher
镜像加速npx clawhub@latest install token-launcher --registry https://cn.longxiaskill.com
技能文档
请参见下方(由于字符限制,仅提供关键部分,完整内容请参考原始技能文件)