📦 Toss — 投掷
v0.1.0Payments CLI 使用命令行工具通过 Toss Payments API 获取支付详情,并凭支付密钥执行全额或部分退款。
0· 11·0 当前·0 累计
by 下载技能包
最后更新
2026/4/20
安全扫描
OpenClaw
可疑
medium confidence该技能的声明用途(Toss Payments CLI)与其请求的环境变量基本相符,但说明和打包信息不一致(它让你 pip 安装一个包并运行 toss-pay 二进制文件,而代码文件、安装规范或声明的二进制均不存在),因此在提供密钥前应先核实其来源。
评估建议
该技能看起来像是 Toss Payments CLI 的文档,而非独立实现。在安装或提供 TOSS_SECRET_KEY 之前:
1)向发布者索要源码仓库或官方包名,并在 PyPI/GitHub 及其主页验证。
2)在确认包来源并检查代码前,不要导出真实密钥。
3)如需测试,使用权限最小的测试密钥。
4)优先使用 Toss Payments 文档引用的官方 SDK 或包;避免安装来源不明或未经验证的包或运行二进制文件。...详细分析 ▾
ℹ 用途与能力
该 skill 声称是 Toss Payments 的 CLI,并索取 TOSS_SECRET_KEY 凭据,这与声明用途相符。然而,它自称是可运行的 CLI(toss-pay),而 skill bundle 中既无代码、无二进制文件、无主页,也无安装说明;这种不一致降低了人们对其是否真能提供所宣传功能的信心。
⚠ 指令范围
SKILL.md 要求运行 toss-pay CLI 并给出安装命令(pipx install . / pip install .)。它还提到可选的 TOSS_BASE_URL 环境变量,但 requires.env 中并未声明 TOSS_BASE_URL。说明未索要无关文件或密钥,却假定存在一个本地包/二进制文件,而技能包中并无该文件——按此操作的代理可能尝试运行不存在的命令,或依赖来源未知的外部包。
⚠ 安装机制
技能元数据中无安装说明,而 SKILL.md 却让用户运行 `pipx install .` 或 `pip install .`,暗示存在 Python 包源码。由于技能不含代码文件或仓库链接,且“Source”与“Homepage”字段缺失/未知,无法追溯或验证安装产物。此不一致性带来风险:安装指令指向的构件并不存在。
ℹ 凭证需求
仅需/已声明 TOSS_SECRET_KEY(主凭证),这对支付 API 客户端而言是合理的。然而,SKILL.md 额外引用了环境变量 TOSS_BASE_URL,而 requires.env 中并未声明。索要密钥本身符合用途,但该 skill 无来源信息,若使用将获得敏感凭证——请仅提供给已知、可信的实现。
✓ 持久化与权限
该技能未请求持久/始终开启的权限(always: false),也未声明修改其他技能或系统级设置。默认启用自主调用,但未与其他高权限组合使用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/4/20
首次发布
● 无害
安装命令
点击复制官方npx clawhub@latest install toss-payments-cli
镜像加速npx clawhub@latest install toss-payments-cli --registry https://cn.longxiaskill.com