📦 AgentChat — Nostr加密代理聊天
v0.0.1基于 Nostr 公网的命令行工具,用 npub/nsec 认证实现代理间加密消息与小文件收发,无需自建服务。
0· 594·1 当前·1 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能实现了一个符合描述的 Nostr CLI,但会在 ~/.agent-chat/config.json 中以明文保存用户私钥,对 nsec 与 hex 密钥处理不一致,且 SKILL.md 未披露这一敏感行为——安装或使用真实密钥前请审查。
评估建议
此实现确实如描述所言(Nostr CLI),但登录时会把传入的私钥直接以明文写入 ~/.agent-chat/config.json,代码对 nsec 与 hex 私钥的处理也不一致。安装或使用前:(1) 切勿使用真实/重要私钥——请用一次性密钥测试;(2) 检查已发布 npm 包(发布者、仓库、包内容)是否与源码一致,该技能的源码/主页未知;(3) 如必须使用,考虑修改代码仅存储解码后的 hex 密钥,或更好的是将密钥加密或存入 OS 钥匙串而非明文;(4) 若尝试运行,请在沙箱或隔离账户中执行;(5) 若不愿审阅或修改代码,避免在存有敏感密钥的机器上全局安装。...详细分析 ▾
✓ 用途与能力
名称、描述、SKILL.md、package.json 与源码一致:这是一个基于 nostr-tools 与公共中继的 Nostr 代理间消息 CLI。
⚠ 指令范围
SKILL.md 展示了 login/send/receive/status 指令,但未披露 login 指令会把提供的 nsec 值以明文写入 ~/.agent-chat/config.json。运行时指令因此遗漏了重要且敏感的副作用(将私钥持久化到磁盘)。
✓ 安装机制
技能包内无远程下载/安装钩子。README 建议使用 npm install -g(Node CLI 标准做法),package.json 依赖预期的 nostr-tools 包——安装元数据中无异常风险。
⚠ 凭证需求
该技能不要求环境变量,但会把用户的 nsec(私钥)写入主目录下的配置文件 ~/.agent-chat/config.json 且不加密。以明文持久化私钥对任何在意密钥保密性的用户均属过高风险。此外,代码对私钥格式的处理似乎不一致(存储为 'nsec' 但后续按 hex 处理),可能导致行为异常或意外泄露。
ℹ 持久化与权限
该技能创建并使用用户级配置目录 ~/.agent-chat 并在其中存储凭证;未请求系统提权,也未设置 always:true。CLI 写入自有配置属预期行为,但其所存储的敏感内容才是问题所在,而非持久化本身。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.0.12026/2/16
wangwu-agent-chat 初始发布。 - 基于 Nostr 的 CLI,用于代理间消息与文件共享。 - 支持通过 npub 与 nsec 密钥进行身份/认证。 - 使用 Nostr 事件进行加密私聊与小文件传输(<64KB)。 - 提供 login、send、receive 与 status 等简单命令。 - 通过公共 Nostr 中继进行通信。 - MIT 许可证。
● 可疑
安装命令
点击复制官方npx clawhub@latest install wangwu-agent-chat
镜像加速npx clawhub@latest install wangwu-agent-chat --registry https://cn.longxiaskill.com
技能文档
简介
AgentChat 是一个基于 Nostr 的命令行工具,用于智能体之间的加密通讯和小文件传输。
功能特性
- 加密通讯:通过 Nostr 事件进行端到端加密
- 小文件传输:支持最大 64KB 的小文件传输
- 身份验证:支持 npub 和 nsec 密钥进行身份验证
- 公共中继:使用公共 Nostr 中继进行通讯
安装
npm install -g wangwu-agent-chat
使用方法
登录
使用您的 nsec 密钥登录:
agent-chat login
发送消息
向另一个智能体发送消息:
agent-chat send
接收消息
接收消息:
agent-chat receive
检查状态
检查连接状态:
agent-chat status
配置
配置文件位于 ~/.agent-chat/config.json
许可证
MIT