by 安全扫描
OpenClaw
可疑
medium confidence该技能的目的(在基础网络上交换代币)与其指令匹配,但依赖于运行未固定版本的 npm CLI(通过 npx,存在远程代码执行风险),且未声明如何访问钱包凭证,这对于一个仅指令的技能来说是不成比例的。
评估建议
该技能如其所言(交易代币),但在运行时执行未固定版本的 npm 包(npx awal@latest),并依赖于未描述的钱包认证步骤。使用前,请验证 `awal` CLI 的源代码和维护人员,优先使用固定版本而非 @latest,检查包代码(或其发布仓库)以了解如何处理密钥和批准,避免输入私钥到提示中,除非您信任该包。如果可能,使用隔离/硬限制钱包(小资金)进行交易,或者要求作者提供版本化、可审计的集成,并详细记录如何执行认证和签名。...详细分析 ▾
✓ 用途与能力
名称/描述与运行时指令匹配:SKILL.md 指示代理使用 `npx awal@latest trade` CLI 在基础网络上执行代币交换,代币别名/参数与此目的一致。
ℹ 指令范围
指令仅限于调用 `awal` CLI(状态/交易/余额)和处理金额/代币,不要求代理读取任意系统文件。然而,它们指示代理执行远程代码(npx),该代码将与用户的钱包交互 —— 未在此处描述确切的钱包访问接口。
⚠ 安装机制
技能中没有安装规格,但允许的工具明确依赖于 `npx awal@latest`。运行 npx 会从 npm 注册表在运行时获取和执行代码,技能固定到 @latest(无版本),引入了供应链/任意远程代码风险。对于基于 CLI 的方法,这是预期的,但这是一个值得注意的风险,在此处未得到缓解(无固定版本,无源/主页)。
⚠ 凭证需求
技能未声明任何必需的环境变量或凭证,但交易需要钱包/认证步骤。SKILL.md 提到“已认证”和外部 `authenticate-wallet` 技能,但未声明 CLI 将访问哪些秘密或本地钱包文件。明确的凭证声明缺失,隐藏了私钥或钱包将如何被读取或提供。
✓ 持久化与权限
技能可由用户调用,不总是包含,并不请求持久权限或修改其他技能。启用了自主调用(disable-model-invocation: false),这是正常的;这里没有授予不寻常的系统范围持久性。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/2/12
基础网络代币交易技能的初始发布。- 通过简单命令启用交易、交换、买卖和转换代币(例如 USDC、ETH、WETH)。- 支持以 USD、十进制、整数和原子单位格式输入金额。- 包括已知代币和合约地址的代币别名解析和十进制自动检测。- 允许自定义滑点设置和 JSON 输出。- 提供详细示例、先决条件和错误处理指南。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install trade
镜像加速npx clawhub@latest install trade --registry https://cn.clawhub-mirror.com
技能文档
使用 npx awal@latest trade 命令通过 CDP Swap API 在基础网络上交换代币。交易前必须进行认证。
确认钱包初始化和认证
npx awal@latest status
authenticate-wallet 技能。命令语法
npx awal@latest trade [options]
参数
| 参数 | 描述 |
|---|---|
amount | 交换金额(见下文金额格式) |
from | 源代币:别名(usdc, eth, weth)或合约地址(0x...) |
to | 目标代币:别名(usdc, eth, weth)或合约地址(0x...) |
金额格式
金额可以以多种格式指定:| 格式 | 示例 | 描述 |
|---|---|---|
| 美元前缀 | '$1.00', '$0.50' | USD 标记(基于代币的十进制) |
| 十进制 | 1.0, 0.50, 0.001 | 带十进制点的可读格式 |
| 整数 | 5, 100 | 解释为完整代币 |
| 原子单位 | 500000 | 作为原子单位处理的大整数 |
500000 等于 $0.50。十进制:对于已知代币(usdc=6, eth=18, weth=18),十进制是自动的。对于任意合约地址,十进制从代币合约中读取。选项
| 选项 | 描述 |
|---|---|
-c, --chain | 区块链网络(默认:base) |
-s, --slippage | 滑点容忍度(以百分点计,100 = 1%) |
--json | 以 JSON 格式输出结果 |
代币别名
| 别名 | 代币 | 十进制 | 地址 |
|---|---|---|---|
| usdc | USDC | 6 | 0x833589fCD6eDb6E08f4c7C32D4f71b54bdA02913 |
| eth | ETH | 18 | 0xEeeeeEeeeEeEeeEeEeEeeEEEeeeeEeeeeeeeEEeE |
| weth | WETH | 18 | 0x4200000000000000000000000000000000000006 |
$ 的金额,以防止 bash 变量扩展(例如,'$1.00' 而非 $1.00)。示例
``bash
# 使用美元前缀交换 $1 USDC 为 ETH
npx awal@latest trade '$1' usdc eth
# 使用十进制格式交换 0.50 USDC 为 ETH
npx awal@latest trade 0.50 usdc eth
# 交换 500000 个 USDC 原子单位为 ETH
npx awal@latest trade 500000 usdc eth
# 交换 0.01 ETH 为 USDC
npx awal@latest trade 0.01 eth usdc
# 使用自定义滑点(2%)交换
npx awal@latest trade '$5' usdc eth --slippage 200
# 使用合约地址交换(从链中读取十进制)
npx awal@latest trade 100 0x833589fCD6eDb6E08f4c7C32D4f71b54bdA02913 0x4200000000000000000000000000000000000006
# 获取 JSON 输出
npx awal@latest trade '$1' usdc eth --json先决条件
- 必须认证(使用
awal status 检查)
钱包必须具有足够的源代币余额 错误处理
常见错误:
- “未认证” - 先运行
awal auth login 数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制