分类 开发 下的文章

来自OpenClaw官方的AGOS市场自动化工具,通过Python脚本一键完成服务上架与采购,提升区块链服务交易效率。

基本信息

  • 技能名称?agos-marketplace
  • 中文名称?AGOS市场自动化交易助手
  • 作者?DanielW8088
  • 分类?开发
  • 版本?v1.2.1
  • 标签?automation, api, backend, pay, finance-accounting, blockchain

使用方法

使用说明
Agos Marketplace Skill 是 OpenClaw 团队官方发布的自动化交易工具,专为 AGOS 市场(https://market.agos.fun)设计,旨在通过可执行脚本实现服务上架与采购的全流程自动化。该 Skill 基于 Python 标准库开发,无需额外依赖,可直接在各类环境中部署运行。
核心用法 方面,该 Skill 提供双向自动化能力:卖方通过 create_listing.py 脚本自动创建服务列表,支持自定义服务名称、描述、价格(USDT计价)及供应商端点;买方则通过 create_order.py 脚本自动创建采购订单,支持按列表 ID 精准购买或自动选择首个活跃列表,同时具备支付参数准备和状态轮询等待功能。所有操作均针对 BNB Chain(chainId=56)优化,默认以 USDT 作为结算代币。
显著优点 包括极高的安全性与可靠性:代码仅依赖 Python 标准库(urllib、argparse、json 等),彻底杜绝第三方依赖带来的供应链攻击风险;通过 BSS A 级安全认证,无 eval/exec/system 等危险函数,输入验证与错误处理机制完善;作为 T2 级来源(GitHub 组织账号),代码开源可审计,无硬编码敏感信息,仅处理钱包公钥地址,私钥管理完全交由外部签名器处理。
潜在缺点 主要在于功能边界限制:当前仅支持 BNB Chain,多链兼容性不足;区块链支付环节需要外部签名器支持,Skill 本身不处理私钥签名,对于需要完全内置签名的场景不够便捷;此外,自动化脚本依赖外部 API 可用性,若 Agos 市场服务端出现故障或网络不稳定,将影响自动化流程执行。
适合的目标群体 包括:AGOS 市场的服务提供商(需要批量或自动化上架 AI 服务、数据服务等)、采购代理方(需要程序化购买市场服务)、以及构建 OpenClaw 生态自动化工作流的开发者。特别适合需要集成区块链服务交易到现有 CI/CD 流程或业务系统的技术团队。
使用风险 主要涉及区块链操作特性:虽然 Skill 本身不触碰私钥,但用户需确保外部签名环境安全,防止中间人攻击篡改支付参数;涉及加密货币(USDT)转账,一旦支付交易上链便不可逆,需仔细核对 payment_preparation 中的合约地址与金额;API 轮询等待功能虽设有 180 秒超时保护,但在网络拥堵时可能导致状态同步延迟;此外,作为连接区块链与现实服务的桥梁,需确保供应商端点(endpoint)的可信度,防止服务欺诈。

OpenClaw 开源安全插件,提供本地敏感数据脱敏与提示词注入检测,MIT 协议开源可审计,适合需要 AI 交互安全防护的开发者。

基本信息

  • 技能名称?moltguard
  • 中文名称?AI 交互的本地隐私护盾
  • 作者?ThomasLWang
  • 分类?开发
  • 版本?v6.7.23
  • 标签?security, privacy, ai-ml, api, development-engineering, automation, backend

使用方法

使用说明
核心用法
MoltGuard 是 OpenClaw 生态的安全插件,提供双重防护机制:

  1. 本地提示词净化网关 —— 在数据发往 LLM 前本地脱敏敏感信息(银行卡、API 密钥、邮箱等),通过占位符替换实现"数据可用不可见",LLM 返回后再还原真实值执行本地操作。
  2. 提示词注入检测 —— 拦截外部内容(邮件、网页、文档)中的隐藏恶意指令,通过调用 api.moltguard.com 分析净化后的内容结构,识别注入攻击并阻断。
    安装方式支持 npm 包安装或源码审计后本地安装,配置灵活:可启用 gateway-only 模式完全离线运行,或全功能模式启用云端检测。
    显著优点
    完全开源可审计 :约 1,800 行 TypeScript 源码无混淆,关键文件(sanitizer.ts、runner.ts、store.ts)明确标识,用户可自行验证网络调用与文件操作
    隐私优先设计 :敏感数据本地脱敏后才外发,PII 永不离开设备;支持自托管 API 端点
    零配置上手 :自动注册免费 API 密钥,无需邮箱或手动申请
    多协议兼容 :网关支持 Anthropic、OpenAI、Gemini 等主流 LLM 协议,透明代理无需修改业务代码
    透明度高 :详细文档说明每行网络调用、每个文件创建路径,提供完整验证清单
    潜在缺点与局限性
    强制外部依赖 :注入检测功能必须连接 api.moltguard.com ,无法完全离线使用全功能
    数据外泄风险 :即使脱敏,内容结构和提示词模式仍会发送至第三方服务器,极端隐私场景不适用
    API 可用性绑定 :检测服务依赖 MoltGuard 服务器稳定性,网络中断时可能超时或降级
    审计门槛 :虽宣称可审计,但普通用户缺乏动力和能力审查 1,800 行代码,信任仍部分依赖开发者声誉
    占位符还原风险 :网关模式下的敏感数据还原依赖本地状态,进程异常可能导致数据不一致
    适合的目标群体
    AI Agent 开发者 :需要为自动化工作流添加安全护栏,防止外部内容污染指令链
    企业合规团队 :处理含 PII 的业务数据时需满足"数据最小化"原则,本地脱敏符合 GDPR 等法规要求
    安全研究人员 :需要可审计、可自托管的 LLM 安全工具进行攻防研究
    对隐私敏感的个人用户 :愿意牺牲部分便利性换取数据控制权,能接受技术配置成本
    使用风险
    网络层风险 :默认配置下存在不可验证的服务器端数据处理,隐私政策承诺不等于技术保证
    配置误用风险 :用户可能未意识到 enabled: true 即开启外发,需在安装前主动调整为 gateway-only 模式
    供应链风险 :npm 包与 GitHub 源码理论上可分叉,需用户执行 npm pack 比对验证
    性能开销 :每次 LLM 调用增加本地脱敏+网络检测延迟,高并发场景可能成为瓶颈
    日志累积 :JSONL 日志文件持续追加,长期运行需手动清理避免磁盘占满

基于 curl 官方文档的 HTTP 客户端命令参考,为开发者和运维人员提供标准化的 API 测试、文件传输与网络调试指南。

基本信息

  • 技能名称?curl-http
  • 中文名称?工业级 HTTP 命令行全能工具箱
  • 作者?Arnarsson
  • 分类?开发
  • 版本?v1.0.0
  • 标签?api, development-engineering, devops, testing, backend, automation, docs

使用方法

使用说明
核心用法
curl-http 是一个纯文档型 Skill,系统性地整理了 curl 命令行工具在 HTTP 请求、API 测试和文件传输场景下的完整用法。内容涵盖 GET/POST/PUT/DELETE/PATCH 等全量 HTTP 方法、自定义请求头与多种认证方式(Basic Auth、Bearer Token、API Key)、超时重试机制、Cookie 与代理配置、SSL/TLS 安全选项,以及响应处理与性能测试技巧。所有示例均为可直接执行的 Bash 命令片段,支持从简单请求到复杂调试场景的全覆盖。
显著优点

  1. 权威性与完整性 :基于 curl 官方文档(curl.se)构建,覆盖 20+ 年工业级 HTTP 工具的核心能力,示例经过生产环境验证。
  2. 场景化组织 :按"基础请求-认证授权-高级特性-文件操作-测试调试"递进式编排,新手可快速上手,专家能直接定位高级用法。
  3. 即查即用 :每个代码块均为独立可执行单元,配合 -s 、 -w 、 -v 等调试标志的详细说明,大幅降低 API 调试和自动化脚本编写成本。
  4. 零依赖风险 :纯 Markdown 文档,无隐藏代码逻辑,完全依赖系统预装的 curl 二进制文件,行为透明可预期。
    潜在缺点与局限性
  5. 静态文档限制 :仅提供命令参考,无交互式参数构建或自动补全功能,复杂请求仍需用户手动拼接。
  6. 平台差异未标注 :部分选项(如 --socks5 代理、TLS 版本控制)在不同 curl 版本或操作系统中存在行为差异,文档未逐一说明。
  7. 安全风险示例 :包含 -k (忽略 SSL 证书)和明文密码认证示例,虽有合理性,但缺乏醒目的环境适用性警告,新手可能误用于生产环境。
  8. 输出处理依赖外部工具 :JSON 美化示例依赖 jq ,但 Skill 未说明该工具的安装要求,可能导致命令执行失败。
    适合的目标群体
    后端/全栈开发者 :日常 REST API 调试、接口联调与自动化测试
    DevOps/SRE 工程师 :服务健康检查、性能基准测试、CI/CD 流水线 HTTP 探针编写
    安全测试人员 :HTTP 请求构造、认证绕过测试、SSL/TLS 配置验证
    技术写作者与 API 设计者 :生成可复现的接口调用示例文档
    使用风险
  9. 凭证泄露风险 :命令行历史( .bash_history )可能记录含密码或 Token 的 curl 命令,建议配合 HISTCONTROL=ignorespace 或从文件读取敏感数据。
  10. SSL 降级误用 : -k / / --insecure` 参数若用于生产环境,将完全丧失 HTTPS 的防中间人保护能力。
  11. 大文件传输性能 :curl 默认单线程下载,GB 级文件传输无断点续传保护时可能因网络抖动导致重复流量消耗。
  12. 版本兼容性 :旧系统 curl 版本(如 --retry-all-errors 等新特性,脚本跨环境部署前需验证版本。

基于 MCP 协议的纯文档型设计转码工具,可将 Pencil .pen 文件精准转换为 React/Tailwind 生产代码,消除设计与开发鸿沟。

基本信息

  • 技能名称?pencil-to-code
  • 中文名称?设计稿秒转 React 生产代码
  • 作者?Jcwen
  • 分类?开发
  • 版本?v0.1.0
  • 标签?design, frontend, react, tailwind, development-engineering, productivity

使用方法

使用说明
核心用法
pencil-to-code 是一个专注于设计到代码转换的专用技能,核心功能是将 Pencil 设计工具生成的 .pen 文件转换为生产级的 React/Tailwind 代码。用户只需提供 Frame ID 或文件路径,技能便会通过 MCP (Model Context Protocol) 协议调用 mcp__pencil__batch_get 等工具读取设计结构,提取设计变量(Design Tokens),并按照预设的映射规则将 .pen 节点转换为对应的 React 组件。整个过程涵盖六个明确阶段:读取设计结构、提取设计令牌、节点映射、代码生成、可选的截图验证以及最终输出。支持 React(默认)、Vue 和 HTML 多种目标框架,输出包含完整的 TypeScript 组件代码和 Tailwind 主题配置。
显著优点
该技能的最大优势在于其"单一职责"的设计理念,专注于导出功能而不修改设计,确保转换过程纯粹且可预测。它实现了设计系统到代码的精准映射,特别是将 .pen 变量自动提取为 Tailwind 4 的 @theme 配置,保持设计令牌的一致性。转换规则遵循严格的 8-point 网格系统,自动将间距、字体大小等映射为标准的 Tailwind 类名(如 p-4、text-2xl)。生成的代码具备生产级质量,采用语义化 HTML 标签、TypeScript 类型定义,并包含可访问性属性(ARIA)。此外,技能提供详细的节点映射参考文档和翻译规则表,使转换过程透明可控。
潜在缺点或局限性
作为 T3 来源的个人开发者项目,其长期维护性和社区支持相对有限。技能严重依赖 MCP Pencil 工具的可用性和版本兼容性,若 MCP 服务器更新可能导致功能中断。转换质量高度依赖于输入的 .pen 文件结构规范性,复杂的设计系统或非常规布局可能无法完美转换。目前仅支持特定框架(React/Vue/HTML),对其他技术栈(如 Svelte、Angular)支持不足。生成的代码虽可直接使用,但在复杂交互逻辑、状态管理等方面仍需开发者手动补充,无法完全替代人工编码。
适合的目标群体
该技能最适合前端开发者与设计师协作的场景,特别是使用 Pencil 进行设计并采用 React/Tailwind 技术栈的团队。适用于需要快速将设计原型转换为可运行代码的敏捷开发流程、设计系统初始化搭建、以及需要保持设计令牌一致性的中后台系统开发。对于希望减少设计与开发之间沟通成本、提升交付效率的初创团队和产品部门尤为适用。不适合对代码生成质量有极高要求且不愿人工复核的企业级核心系统,或完全不了解 Pencil 设计工具的用户。
使用风险
主要风险在于对 MCP 生态系统的依赖,需确保 MCP Pencil 工具来源可信且版本稳定。由于技能本身为纯文档型资产,实际执行依赖外部工具,存在工具链断裂风险。输入的 .pen 文件若来自不可信来源,可能包含恶意设计结构(虽然转换为代码后风险较低,但仍建议审查)。生成代码的性能和可维护性取决于原设计文件的复杂度,过度复杂的设计可能导致生成臃肿的组件。此外,作为个人维护项目,存在更新滞后或停止维护的潜在风险,建议企业用户在使用前进行充分测试并考虑 fork 维护。

纯文档型CTF解题报告生成工具,自动识别flag格式、分类挑战类型,输出专业Markdown格式writeup,适合安全研究者快速整理竞赛成果。

基本信息

  • 技能名称?ctf-writeup-generator
  • 中文名称?CTF解题报告一键生成专家
  • 作者?akhmittra
  • 分类?开发
  • 版本?v1.0.0
  • 标签?cybersecurity, education-research, docs, productivity, content-media

使用方法

使用说明
核心用法
CTF Writeup Generator 是一款面向网络安全竞赛参与者的文档自动化工具。用户只需提供解题过程的原始描述,该技能即可自动识别CTF平台特定的flag格式(如HTB{...}、THM{...}、picoCTF{...}等),根据关键词和工具使用痕迹智能分类挑战类型(Web渗透、二进制利用、逆向工程、密码学、取证分析等),并输出结构完整、格式规范的专业Markdown文档。
使用流程简洁直观:用户描述解题过程 → 技能提取技术步骤与工具 → 自动匹配平台模板 → 生成包含元数据、摘要、侦察过程、分步解法、工具清单、flag展示和学习总结的完整writeup。支持多种输出风格(学术型、速通型、教程型、作品集型),并可导出为PDF或HTML格式。
显著优点
专业化程度高 :内置HackTheBox、TryHackMe、OffSec等主流平台的专属模板,自动适配各平台的格式规范,省去手动调整排版的繁琐工作。
智能识别能力 :flag格式检测覆盖常见CTF平台及自定义正则模式,挑战分类基于工具链和关键词实现自动化,大幅降低文档整理的认知负担。
教育价值突出 :强制包含"Key Takeaways"和"References"章节,促进知识沉淀;支持记录失败尝试和思路转折,形成完整的学习闭环。
零依赖轻量设计 :核心功能仅依赖基础Markdown处理器,可选pandoc和pygments增强功能,无运行时外部依赖,部署门槛低。
潜在缺点与局限性
输入质量依赖 :输出质量高度依赖用户提供的原始描述详尽程度,若解题笔记过于简略,生成的writeup会缺乏技术深度。
无实际攻击能力 :该技能仅为文档生成工具,不包含任何实际的渗透测试、逆向分析或漏洞利用功能,无法替代专业安全工具链。
模板扩展性有限 :新增CTF平台或自定义flag格式需要手动修改技能配置,缺乏动态模板加载机制。
无协作功能 :不支持多人协同编辑、版本控制集成或团队知识库同步,适合个人使用但难以直接嵌入企业安全团队工作流。
适合的目标群体
CTF竞赛选手 :需要快速整理比赛成果、建立个人技术博客或求职作品集
网络安全教育者 :批量生成标准化教学材料,降低课程准备成本
OSCP/安全认证备考者 :系统化记录靶机渗透过程,形成可复习的知识体系
安全研究员 :规范化漏洞分析文档,提升研究成果的可读性和传播效率
使用风险
性能风险 :处理超长解题记录(如数小时的渗透测试过程)时,上下文窗口可能溢出,导致输出截断或关键步骤遗漏。
内容合规风险 :用户可能无意中在输入中包含真实凭据、内部网络拓扑或受NDA保护的信息,技能本身无敏感信息检测机制,需人工审查输出。
时效性风险 :CTF平台规则、flag格式或评分机制变更后,内置模板可能过时,需关注技能更新或手动调整。
依赖项风险 :若启用PDF导出功能,pandoc的可用性和版本兼容性可能影响输出稳定性。