EM-A2A 没有提供足够的上下文信息来进行准确的翻译。然而,如果 EM-A2A 指的是一个特定的技术术语或模型(如语音合成中的 EM-A2A 模型),那么它通常会被直接使用而不翻译。因此,在这种情况下,保持原样:EM-A2A。
v0.1.0在TRON上进行代理间支付。当代理需要支付给其他代理、托管资金、检查信用评分或验证链上身份时使用。
0· 6·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
medium confidence该技能的目的(TRON A2A 支付、托管、信用检查)与其声明的环境需求相符,但它指示运行一个远程的 npm 包(通过 npx)以接收您的私钥并执行链上/在线操作——这种敏感的组合需要谨慎和代码审查后再使用。
评估建议
This 技能 应用ears to do what it advertises, but it requires handing a TRON private key to a remote npm package 执行d at 运行time. Before 安装ing or using it: (1) 验证 and 审计 the npm package and GitHub repo (检查 publisher, recent commits, and open-source code), (2) prefer using testnet (shasta) and never expose a production mAInnet private key until code is reviewed, (3) consider using a 签名ing 服务 or a limited-scope hot wallet 添加ress rather than a full private key in env, (4) pin package versions (do not rely...详细分析 ▾
✓ 用途与能力
Name, description, and declared capabilities (payments, escrow, credit, 身份 on TRON) align with the declared 环境 variables A2A_NETWORK and A2A_PRIVATE_KEY and the provided 工具设置 (@poisonpyf/a2a-mcp). The 请求ed 凭证s are consistent with 签名ing TRON transactions.
⚠ 指令范围
技能.md instructs configuring an MCP to 运行 'npx @poisonpyf/a2a-mcp' with A2A_PRIVATE_KEY in the 环境. That means an external, remote package will 运行 with 访问 to the private key and can make arbitrary network calls. The instructions also imply third-party 服务s (credit/leaderboard/AML) without specifying 端点s or data flows, leaving potential for unexpected data transmission.
ℹ 安装机制
No formal 安装 spec in the 技能 bundle, but the 运行time instructions explicitly 运行 a package from npm via npx. Executing remote npm packages at 运行time is a moderate risk because it 下载s/执行s third-party code on demand; the package scope (@poisonpyf) is not a widely-known vendor, so up流 code should be 审计ed before trusting it with keys.
⚠ 凭证需求
Only A2A_NETWORK and A2A_PRIVATE_KEY are 请求ed, which is proportionate to the 状态d blockchAIn payment function. However, the private key is highly sensitive — giving it to a 运行time process you do not control (npx-invoked package) 创建s a high-exposure scenario. No mitigation (e.g., read-only wallet, 签名ing 服务, or hardware key) is described.
ℹ 持久化与权限
always:false (normal). The 技能 permits autonomous 模型 invocation (default), which combined with 运行time execution of remote code and 访问 to a private key increases blast radius if the package or up流 服务s are malicious or compromised. The 技能 does not 请求 persistent 系统-level privileges or other 技能s' configs.
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
安装命令
点击复制官方npx clawhub@latest install em-a2a
镜像加速npx clawhub@latest install em-a2a --registry https://cn.longxiaskill.com 镜像可用
技能文档
EM-A2A:代理间支付协议 在TRON区块链上实现代理间支付、托管、信用评分和身份验证。当使用此技能时: 一个代理需要向另一个代理支付服务、数据或计算费用 需要在工作交付和接受之前将资金托管在托管账户中 需要在信任某个代理之前检查其信用评分 需要验证代理的链上身份(DID + KYA) 需要在发起支付之前计算协议费用 不适用于: 支付API端点(使用paybot)或HTTP 402拦截(使用x402)。 工具 此技能通过@poisonpyf/a2a-mcp提供4个MCP工具: 工具 当调用 a2a_pay 在两个代理之间转移USDC/USDT a2a_escrow 在工作开始之前锁定资金,在完成时释放,在争议时退款 a2a_credit 检查代理的信用评分、级别、趋势和排行榜 a2a_revenue 在发起交易之前计算协议费用 典型工作流程 雇佣另一个代理
- a2a_credit(agentId) → 检查卖方的声誉
- a2a_revenue(amount, mode) → 了解费用结构
- a2a_escrow(action="lock") → 在托管中锁定付款
- [卖方交付工作]
- a2a_escrow(action="release") → 在接受时释放资金
- a2a_credit(agentId) → 检查对手方的声誉
- a2a_revenue(amount, mode) → 预览费用
- a2a_pay(from, to, amount) → 执行直接转账