📦 Agent Fuel — 代理钱包自动充值

v1.0.0

借助 MoonPay CLI 实现代理钱包自动充值、x402 付款与 OpenWallet 标准，确保链上操作永不断粮。

0· 95·0 当前·0 累计

by @zedit42 (Zedit42)·MIT-0

自动化 API工具云服务智能体安全

下载技能包

License

MIT-0

最后更新

2026/3/22

安全扫描

VirusTotal

可疑

查看报告

OpenClaw

可疑

medium confidence

该技能基本兑现承诺（用 MoonPay CLI 充值并支付 x402 请求），但存在多处不一致与高风险实现（安装说明矛盾、白名单/熔断缺失、shell eval 及未净化命令执行），在授予真实 MoonPay 账户与资金前需谨慎。

评估建议

安装或运行前简明检查表： - 它会做什么：使用 MoonPay CLI（mp）及本地已登录账户检查余额、买卖代币、转账（包括自动支付 x402 请求）。如设为守护模式，将定期执行。 - 使用前的主要红旗： - 代码可向任意 x402 头地址付款。确保理解并信任收款服务，或实现收款白名单。README 提到“白名单模式”与“熔断开关”，但代码未实现。 - shell 脚本对可配置 NOTIFY_CMD 使用 eval，若配置被篡改可执行任意命令。请自行控制该变量，避免嵌入用户输入。 - TypeScript 与 shell 代码用字符串拼接构造命令（execSync/mp … 与 eval），存在命令注入风险。 - 技能未声明所需敏感凭据（需本地 mp login 状态即可动用资金）。 - 缓解与建议： - 本地审计代码，先用测试账户/低资金钱包试运行。 - 显式配置收款白名单，或对超小额以上的充值/付款要求人工确认。 - 移除 eval：改用 spawn 传参数组方式调用 NOTIFY_CMD。 - 避免将用户输入插值到 shell 命令，使用 spawn 或校验...

详细分析 ▾

⚠ 用途与能力

高级目的（通过 MoonPay 自动充值与 x402 付款）与代码一致：shell 与 TS 均调用 mp CLI 查询余额、买币、兑换、转账。但存在内部矛盾：注册元数据称“无安装说明/仅指令”，而 package.json 与 SKILL.md 却含 npm install @moonpay/cli；README 承诺的白名单模式、熔断开关在代码中未实现，削弱可信度。

⚠ 指令范围

SKILL.md 要求代理运行 MoonPay CLI 并自动支付 x402 402 响应——代码确实根据付款头地址自动转账。shell 脚本用 eval 执行配置中的 NOTIFY_CMD，TS 代码用字符串插值构造 shell 命令并传给 execSync，均落在“管理付款”范围内，但引入命令执行与注入风险，且未实现收款白名单（尽管 README 声称有白名单模式）。指令/配置允许在 ~/clawd/.secrets 存储命令与付款设置，技能会读取并执行。

ℹ 安装机制

未使用远程下载或可疑压缩包。SKILL.md 与 package.json 均要求全局安装 @moonpay/cli（npm 方式）。npm 为常见机制且包名明确。注册元数据与嵌入 npm 指令存在矛盾，但安装方式本身（npm）相比任意远程下载并无额外风险。

⚠ 凭证需求

技能未声明任何环境变量或主凭据，却要求用户先执行 mp login（MoonPay 凭据本地存储），随后用该账户发起法币购币及转账。技能因此获得用户资金账户访问权，却未声明或约束该权限。此外，配置值（通知命令、钱包名、链、x402 头中的 payTo 地址）被插值进 shell 命令，若未加限制，其权限远超普通监控脚本，需用户自行设置支出上限或白名单。

ℹ 持久化与权限

技能未设置 always:true，也未修改其他技能或全局配置。提供守护模式定时检查属正常监控行为。但自动调用叠加购币与转账能力扩大风险：若代理被允许自动调用，可在无人工确认下发起交易，除非运营者配置手动审批或严格限额。

⚠ src/monitor.ts:60

检测到 shell 命令执行（child_process）。

安全有层次，运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

版本

latestv1.0.02026/3/22

首次发布：MoonPay CLI 自动充值、x402 付款、OpenWallet 标准

● 可疑

安装命令

点击复制

官方npx clawhub@latest install agent-fuel

镜像加速npx clawhub@latest install agent-fuel --registry https://cn.longxiaskill.com

技能文档

# Agent Fuel — 自治支付与 Gas 管理通过自动管理钱包余额、MoonPay 自动充值以及支付 x402 启用 API，让你的 agent 永不断粮。 ## 前置条件 1. 安装并登录 MoonPay CLI： ``bash npm install -g @moonpay/cli mp login ` 2. 一个有余额的钱包（可通过 mp wallet create 创建） ## 快速开始 ### 查看余额 `bash mp wallet balance ` ### 余额不足时自动充值当 agent 检测到余额低于设定阈值（可配置）时，触发： `bash mp buy --amount 20 --currency USDC --chain base ` ### 兑换代币 `bash mp swap --from ETH --to USDC --amount 0.01 --chain base ` ## x402 支付对于返回 HTTP 402 的 API，agent 应： 1. 解析 PAYMENT-REQUIRED 头部，获取金额与收款地址 2. 使用 agent 钱包签名支付 3. 携带 PAYMENT-SIGNATURE 头部重试请求 4. 记录交易日志 ## 余额监控 agent 应定期检查余额并采取行动： ` IF balance < minBalance: IF dailySpend < maxDailySpend: mp buy --amount {topUpAmount} --currency USDC notify human "⛽ Auto top-up: ${topUpAmount} USDC" ELSE: notify human "⚠️ Daily spend limit reached. Manual top-up needed." ` ## 配置保存至 ~/clawd/.secrets/agent-fuel.json： `json { "chain": "base", "currency": "USDC", "minBalance": 5.0, "topUpAmount": 20.0, "maxDailySpend": 100.0, "alertThreshold": 2.0, "x402Enabled": true, "x402MaxPerRequest": 0.10 } ` ## 安全规则 - 未经人工批准，绝不超过 maxDailySpend - 务必记录交易原因 - 余额低于 alertThreshold 时立即通知人工 - 1 小时内出现 3 次以上充值则暂停支出（可能为死循环） ## MoonPay CLI 参考 | 命令 | 说明 | |---------|------------| | mp wallet balance | 查看所有钱包余额 | | mp wallet create | 创建新钱包 | | mp buy --amount N --currency TOKEN | 用法币购买加密资产 | | mp swap --from X --to Y --amount N | 兑换代币 | | mp send --to ADDR --amount N --currency TOKEN | 发送代币 | | mp wallet history | 交易历史 | | mp mcp` | 启动 MCP 服务器以供 agent 集成 |

数据来源：ClawHub ↗ · 中文优化：龙虾技能库