by 安全扫描
OpenClaw
可疑
medium confidence技能的描述和说明基本一致(微信支付集成和二维码引导),但SKILL.md引用了缺失的参考文件并包含意外第三方链接,因此该包内部不一致,需谨慎对待。
评估建议
该技能主要包含微信支付集成文档,仅提供说明(无代码/安装)。然而:(1) SKILL.md引用了references/下多个未包含的文件——在使用该技能前,请作者提供这些文件或说明内容将从何处加载;(2) 遵循任何外部链接前请先审查——文档指向pay.weixin.qq.com(官方)但也指向https://www.szmpy.com,该域名非微信官方域名,需核实;(3) 切勿将您的API密钥、商户私钥或证书粘贴到技能对话中——仅使用经过验证的密钥管理器或您自己的后端;(4) 如计划使用链接的示例代码(如gitee),请先在本地检查后再运行;(5) 如有代理要求自动获取缺失的参考文件,请拒绝或审计该获取操作。如果作者提供了缺失的参考文件并澄清了密钥提供方式,请重新评估——当前的不一致足以证明需保持谨慎。...详细分析 ▾
ℹ 用途与能力
声明的用途(微信支付集成和二维码生成)与SKILL.md内容一致:描述了API端点、签名方法和运营任务。然而,README承诺在references/下提供每个主题的文件(如references/merchant_application.md、references/payment_integration.md、references/daily_operations.md),但这些文件并未出现在技能清单中——这是技能声称提供的内容与实际包含内容之间的不一致。
⚠ 指令范围
SKILL.md提供了集成的详细运行时说明(OAuth/OpenID、unifiedorder、notify_url处理、RSA签名),这些说明符合声明的用途。但它还指示代理'加载'捆绑包中不存在的额外参考文件;这可能导致代理获取外部资源或行为不可预测。文档正确警告API密钥和私钥必须通过环境/密钥管理注入,但技能未声明或请求任何环境变量——因此如果自动化代理尝试执行这些步骤,将缺乏明确的凭证接线。
✓ 安装机制
这是一个仅提供说明的技能,没有安装规范和代码文件。这最大程度降低了安装风险;技能本身不会在磁盘上添加任何内容。
ℹ 凭证需求
SKILL.md明确描述了处理高度敏感项目(API密钥、证书、私钥)并指示不得硬编码,必须通过环境或密钥管理器提供。注册表元数据显示没有必需的环境变量或主要凭证——这对于文档/仅说明的技能来说是相称的,但也意味着技能未声明它期望如何提供密钥。用户不应向此技能提供凭证,除非先澄清它们将如何被使用和存储。
✓ 持久化与权限
该技能不请求持久/始终存在,并使用默认调用设置。它不声称修改其他技能或系统级配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/16
微信支付技能首次发布,提供端到端支持:- 引导用户完成微信支付商户入驻,包括要求和申请步骤。- 提供支付API集成分步说明(JSAPI、H5、Native、APP、小程序)。- 涵盖日常运营:账单对账、退款、二维码生成、营销工具和投诉处理。- 链接至官方资源:商户平台、开发文档、示例代码、社区论坛和沙箱。- 根据用户场景加载参考文件以提供针对性指导。
● 可疑
安装命令
点击复制官方npx clawhub@latest install weixinpay-skill
镜像加速npx clawhub@latest install weixinpay-skill --registry https://cn.longxiaskill.com镜像同步中
技能文档
本技能覆盖三大能力模块:
- ① 商户入驻 — 微信支付商户号申请全流程指引
- ② 接口集成 — 支付接口开发(签名/下单/回调/退款)
- ③ 日常运营 — 账单/对账/退款/收款码/营销工具
具体内容按需加载到 references/ 目录下的专项文件。
能力①:商户入驻申请
当用户询问「申请微信支付」「入驻微信支付」「注册商户号」「微信支付怎么申请」时,加载:
→ references/merchant_application.md
核心要点速览:
- 申请入口:https://www.szmpy.com → 「商家入驻」
- 必备材料:营业执照、法人身份证、对公银行账户
- 主体类型:境内企业 / 个体工商户 / 小微商户(仅支持扫码) / 政府机关
- 审核周期:材料齐全通常 3~7 个工作日
- 费率:默认 0.6%(可申请调低,以审批结果为准)
- 注意事项:主体名称须与营业执照完全一致,法人微信号须完成实名认证
能力②:支付接口集成
当用户需要接入微信支付 API(JSAPI / H5 / Native / APP / 小程序)时,加载:
→ references/payment_integration.md
核心开发流程(以 JSAPI 为例):
1. 获取 OpenID(通过 OAuth2.0 或小程序 code 换取)
- 调用统一下单 API(/pay/unifiedorder)获取预支付会话标识 prepay_id
- 前端通过 WeChat JS-SDK 调起支付(wx.chooseWXPay)
- 微信异步回调通知(POST notify_url),商户接收并验证签名
- 根据支付结果更新本地订单状态
关键 API 端点(API v3):
- 统一下单:
POST https://api.mch.weixin.qq.com/v3/pay/transactions/jsapi - 退款:
POST https://api.mch.weixin.qq.com/v3/pay/transactions/out-trade-no/{out_trade_no}/refunds - 查询订单:
GET https://api.mch.weixin.qq.com/v3/pay/transactions/id/{transaction_id} - 下载账单:
GET https://api.mch.weixin.qq.com/v3/bill/subject/bill_gen
认证方式:
- API v3 使用「商户证书 + 私钥」做 RSA 签名,Authorization 头使用 WECHATPAY2-SHA256-RSA2048
- API v2 使用「商户号 + API密钥」做 MD5/HMAC-SHA256 签名
⚠️ 敏感信息(API密钥/证书私钥)严禁硬编码,必须通过环境变量或密钥管理服务注入。
能力③:日常运营
当用户需要执行账单查询、退款、收款码生成、红包发放等运营操作时,加载:
→ references/daily_operations.md
常见运营场景:
- 账单对账:下载交易账单(CSV/ZIP),与本地订单表核对
- 退款处理:支持全额/部分退款,须校验原交易状态
- 收款码:固定金额码(静态码)/ 自由金额码(动态生成)
- 营销红包:现金红包 / 裂变红包,须先充值商户红包账户
- 交易投诉:在商户平台处理用户投诉,设置投诉回调通知
常用资源链接
| 资源 | 链接 |
|---|---|
| 商户平台 | https://pay.weixin.qq.com |
| 开发文档 | https://pay.weixin.qq.com/wiki/doc/apiv3/index.shtml |
| 支付示例代码 | https://gitee.com/nickteng/wechatpay-java |
| 社区论坛 | https://developers.weixin.qq.com/community/pay |
| 沙箱环境 | https://pay.weixin.qq.com/wiki/doc/apiv3_partner/index.php |