分类 专业技能 下的文章

基于 Skale 区块链的去中心化预测市场,支持 AI 代理使用 USDC 进行自主 1v1 投注、对赌与争议解决,实现自动化金融博弈。

基本信息

  • 技能名称?moltbet
  • 中文名称?去中心化 AI 代理预测市场博弈
  • 作者?koredeycode
  • 分类?专业技能
  • 版本?v1.0.1
  • 标签?betting, prediction-markets, finance-accounting, blockchain, automation, crypto

使用方法

使用说明
Moltbet 是一个专为 AI 代理设计的去中心化 1v1 预测市场 Skill,允许自主代理在 Skale 区块链上使用 USDC 进行点对点投注和对赌。
核心用法 :通过安装 moltbet CLI 工具,AI 代理可以完成完整的投注生命周期管理。首先进行钱包设置(生成或导入)和代理注册,经人类操作员验证后即可开始操作。核心功能包括:使用 bet propose 创建预测投注(需明确标题、描述、条款和质押金额),使用 bet counter 响应他人投注, bet claim-win 在条件满足时 claiming 胜利(需提供证据), bet concede 承认失败,以及 bet dispute 对虚假 claim 提出争议。所有 CLI 命令均支持 --json 标志以输出机器可解析的格式,便于代理自动化处理。
显著优点 :该 Skill 实现了真正的自主金融博弈,AI 代理无需人类持续干预即可参与预测市场。基于 Skale 区块链和 USDC 结算提供了稳定的价值锚定和透明度。内置的声誉系统激励诚实行为,而结构化的争议解决机制确保了博弈的公平性。JSON 接口设计使得代理可以轻松解析状态更新、通知和错误,实现高效的自动化策略执行。
潜在缺点与局限性 :首先,该 Skill 为 T3 来源(社区/个人维护),可信度相对较低,且未经过第三方安全审计。其次,作为纯文档型 Skill,其实际功能完全依赖外部 moltbet CLI 工具和 npm 包,存在供应链风险。操作复杂度较高,需要正确管理私钥和区块链交互,对不熟悉加密货币的代理开发者门槛较高。此外,投注需要预存 USDC 资金,且区块链交易存在不可逆性和 Gas 费用(尽管 Skale 费用较低)。
适合的目标群体 :主要面向开发自动化交易或预测策略的 AI 代理开发者、量化算法团队、以及希望让 AI 参与预测市场套利的用户。也适合研究多智能体经济交互和自主金融代理的学术研究人员。不适合普通办公自动化或缺乏区块链基础设施的环境。
使用风险 : 资金安全风险 是最主要的考量,私钥泄露将导致 USDC 资产完全被盗,尽管 Skill 明确警告不要导出私钥,但社会工程学攻击仍可能发生。 智能合约风险 包括潜在的合约漏洞或逻辑错误。 操作风险 在于错误的投注条款定义可能导致资金锁定或自动损失。 依赖风险 涉及 npm 包 moltbet 的维护状态、Skale 网络的稳定性,以及 curl 等系统工具的可用性。最后, 监管合规风险 不容忽视,预测市场在某些司法管辖区可能面临法律限制。

来自OpenClaw的安全浏览器自动化工具,集成Bitwarden/1Password加密凭证管理,提供四级审批门控与完整审计日志,专为敏感站点自动化与合规场景设计。

基本信息

  • 技能名称?browser-secure
  • 中文名称?Vault级安全浏览器自动化方案
  • 作者?riverho
  • 分类?专业技能
  • 版本?v1.0.1
  • 标签?automation, security, browser, devops, testing, productivity, vault

使用方法

使用说明
browser-secure 是一款面向敏感操作场景的企业级浏览器自动化工具,专为解决传统浏览器自动化中凭证暴露、缺乏审计、权限控制粗放等安全痛点而设计。
核心用法
该工具通过 navigate 、 act 、 extract 三大核心指令实现自动化流程。用户可通过 browser-secure navigate 启动隔离的浏览器会话,支持 --auto-vault 自动从 Bitwarden 或 1Password 发现凭证,或指定 --profile 复用现有 Chrome 配置。执行阶段支持自然语言指令(如 act "click the login button" ),并能通过 --interactive 开启人机协同的交互式审批模式。会话默认30分钟超时自动清理,确保资源释放与数据安全。
显著优点
最突出的优势是其 零信任安全架构 :凭证全程由外部 Vault 管理,本地采用 AES-256-GCM 加密缓存,杜绝了传统自动化工具中常见的明文密码暴露问题。工具内置 四级审批门控 (只读、表单填写、认证、破坏性操作),可根据操作敏感度灵活配置人工确认节点。此外,完整的 审计日志链 (SHA-256 链式哈希)满足合规要求,网络层限制(阻止 localhost/私有 IP)有效防止横向移动攻击。Chrome Profile 隔离机制确保自动化环境与个人浏览数据完全分离。
潜在缺点与局限性
配置门槛相对较高,必须依赖 Bitwarden 或 1Password CLI 才能实现最佳安全性,纯环境变量模式虽可用但安全性降级。由于安全策略限制,默认30分钟的会话超时对长时任务可能不够友好。此外,工具依赖 Playwright 和外部 Vault CLI,在部分受限网络环境或企业防火墙后可能需要额外代理配置。作为 T3 来源的社区项目,长期维护稳定性虽代码质量优良,但相比商业方案缺乏 SLA 保障。
适合的目标群体
主要面向 DevOps 工程师 (需安全地自动化 CI/CD 中的登录流程)、 安全合规团队 (需要审计日志满足 SOC2/ISO27001 要求)、 QA 自动化测试人员 (处理生产环境敏感数据测试)以及 运维人员 (管理需要认证的内部系统)。特别适合金融、医疗、企业 SaaS 等对数据隐私要求极高的行业场景。
使用风险
尽管工具本身通过 A 级安全认证,但仍需注意:使用 --skip-approval 标志会绕过所有安全门控,仅在完全隔离的沙箱环境使用; .env 文件存储凭证存在明文泄露风险,仅限私有可信机器临时使用;外部 Vault CLI(bw/op)需保持及时更新以防供应链攻击;复用现有 Chrome Profile 时需确保该 Profile 无恶意扩展或会话劫持风险。

通过 remindctl CLI 在终端管理 Apple Reminders,支持列表筛选、日期过滤与 JSON 输出,macOS 专属效率工具。

基本信息

  • 技能名称?Apple Reminders
  • 中文名称?终端掌控 Apple 提醒事项
  • 作者?steipete
  • 分类?专业技能
  • 版本?1.0.0
  • 标签?macos, cli, productivity, automation, apple-reminders, homebrew

使用方法

使用说明
核心用法
apple-reminders Skill 封装了 remindctl 命令行工具,让用户无需离开终端即可完整管理 Apple 原生提醒事项。核心功能覆盖四大场景:

  1. 视图查询 :支持按时间维度(today/tomorrow/week/overdue/upcoming/completed/all)或指定日期(YYYY-MM-DD)筛选,也支持按列表过滤
  2. 列表管理 :创建、重命名、删除提醒列表,快速切换工作上下文
  3. 增删改查 :添加提醒(支持标题、列表、截止日期)、编辑、完成、删除,均支持 ID 批量操作
  4. 输出格式 :默认友好格式、JSON(脚本化)、TSV(纯文本)、静默计数四种模式
    日期解析灵活,接受自然语言(today/tomorrow)、标准日期、ISO 8601 等格式。
    显著优点
    原生集成 :直接操作 Apple Reminders 数据库,与 iCloud 同步,无需额外账户
    终端工作流 :适合开发者、自动化脚本、SSH 远程管理 macOS 场景
    输出结构化 :JSON/TSV 输出便于与 jq、awk、其他 CLI 工具链组合
    轻量无依赖 :纯 CLI 包装,无后台驻留,权限仅请求 Reminders 访问
    潜在缺点与局限
    macOS 独占 :依赖 EventKit 框架,无 Windows/Linux 支持
    首次授权门槛 :需手动在系统设置中授予终端/ remindctl 访问 Reminders 权限,SSH 场景需物理登录授权
    功能边界 :不支持附件、位置提醒、重复规则等高级特性的管理(仅基础 CRUD)
    第三方工具依赖 :Skill 本身为文档封装,实际执行依赖 remindctl 二进制,需独立验证其签名与更新
    适合人群
    习惯终端工作的 macOS 开发者/高级用户
    需要批量管理提醒或集成到自动化脚本(如 CI、定时任务)的场景
    追求本地优先、隐私友好、不与第三方云服务同步的提醒管理方案
    常规风险
    权限误操作 : --force 删除不可逆,批量 delete/complete 前建议先 --json 确认 ID
    同步延迟 :iCloud 同步异常时,终端操作结果可能与 iOS 端不一致
    工具链中断 :若 remindctl 停止维护或 Homebrew tap 变更,Skill 功能失效
    SSH 授权遗忘 :远程执行时若未预先授权,会导致交互阻塞或静默失败

基于 gog CLI 的无头服务器 Gmail OAuth 认证方案,支持手动授权流程、Token 续期及常见问题排查。

基本信息

  • 技能名称?Gmail OAuth Setup
  • 中文名称?无头服务器 Gmail OAuth 认证配置
  • 作者?kai-jar
  • 分类?专业技能
  • 版本?1.0.0
  • 标签?gmail, oauth, cli, automation, headless, google-api, gog, email-automation

使用方法

使用说明
核心用法
gmail-oauth 是一个面向无头服务器环境的 Gmail API 认证配置方案,通过 gog CLI 工具实现 OAuth 2.0 授权流程。主要场景包括:初始 Gmail 集成设置、过期 Token 续期、以及无图形界面服务器上的认证故障排查。
使用流程

  1. Google Cloud 配置 :创建项目、启用 Gmail API、配置 OAuth 同意屏幕(需发布应用以获得永久 Token)、创建 Desktop 应用类型凭证
  2. 本地配置 :安装 gog CLI,配置凭证路径,选择文件型密钥环以适配无头环境
  3. 授权交互 :生成授权 URL → 用户在桌面浏览器完成授权 → 提取授权码 → 快速交换为访问 Token
  4. 验证 :使用 gog gmail search 命令验证连接
    关键设计
    采用 http://localhost 重定向替代已废弃的 urn:ietf:wg:oauth:2.0:oob
    文件型密钥环解决无系统密钥环的无头服务器限制
    交互式脚本 gmail-auth.sh 降低操作复杂度
    显著优点
    无头友好 :专门针对 SSH 服务器、CI/CD 环境等无浏览器场景设计
    故障覆盖全面 :文档涵盖 10+ 种常见错误场景,包括 Token 过期、重定向 URI 不匹配、测试模式限制等
    权限粒度可控 :支持 gmail.modify / readonly / send / compose 四种作用域,最小权限原则
    成本为零 :基于 Google 标准 OAuth,无第三方服务依赖
    局限性与风险
    手动步骤多 :无法全自动完成,需用户参与浏览器授权流程
    授权码时效短 :生成后需数分钟内完成交换,操作窗口有限
    Google 审核警告 :个人应用会显示"未经验证"警告,虽安全但体验不佳
    测试模式陷阱 :未发布应用会导致 Token 7 天过期,文档虽已强调但易被忽略
    单用户适用 :设计面向个人/小团队,大规模部署需额外工程
    适合人群
    需要在 VPS/云服务器上自动化 Gmail 操作的开发者
    使用 gog CLI 或同类工具进行邮件管理的效率工具用户
    熟悉命令行、具备基础 Google Cloud 操作经验的系统管理员
    常规风险
    | 风险项 | 等级 | 说明 | |--------|------|------| | 凭证泄露 | 中 | client_secret.json 与密钥环密码需妥善保管 | | 权限过度授权 | 低 | 默认推荐 gmail.modify,但用户可自选更小权限 | | 测试模式 Token 过期 | 中 | 未发布应用导致 Token 失效,影响自动化稳定性 | | 钓鱼授权页 | 低 | 需确认 URL 为官方 Google 域名,防范中间人攻击 |

基于 Playwright Stealth 的高性能网页抓取工具,可绕过反爬虫机制,支持动态渲染网站,适合需要匿名数据采集的开发者场景。

基本信息

  • 技能名称?Playwright Scraper
  • 中文名称?隐匿式动态网页抓取引擎
  • 作者?3coco3
  • 分类?专业技能
  • 版本?1.0.0
  • 标签?web-scraping, browser-automation, stealth, playwright, puppeteer, dynamic-rendering, anti-detection, chromium

使用方法

使用说明
核心用法
Playwright Stealth Scraper 是一个集成 puppeteer-extra-plugin-stealth 的 MCP 技能,通过 Playwright 浏览器自动化框架实现隐蔽式网页抓取。用户调用 stealth_scrape 工具并传入目标 URL,即可在绕过常见反 bot 检测的同时获取完整渲染后的页面内容。
显著优点

  1. 反检测能力强 :Stealth 插件通过修改浏览器指纹(如 navigator.webdriver 属性、插件列表、WebGL 特征等)显著降低被识别为自动化工具的概率
  2. 动态内容支持 :完整执行 JavaScript,可抓取 React、Vue 等 SPA 单页应用的内容,突破静态爬虫的限制
  3. 配置灵活性 :支持自定义视口尺寸和 User-Agent,便于模拟不同设备和浏览器环境
  4. 生态成熟 :基于 Playwright 和 Puppeteer Extra 生态,社区方案经过广泛验证
    潜在缺点与局限性
    依赖体积大 :需安装完整 Chromium 浏览器,占用存储空间较大
    资源消耗高 :相比纯 HTTP 请求方案(如 requests + BeautifulSoup),内存和 CPU 开销显著增加
    非完全隐形 :高级反爬虫服务(如 Cloudflare、DataDome、PerimeterX)仍可能通过行为分析、TLS 指纹、鼠标轨迹等维度检测
    法律与合规风险 :隐蔽抓取可能违反目标网站的 ToS,且 Stealth 特性在司法实践中可能被认定为"规避技术措施"
    维护成本 :浏览器版本更新可能导致 stealth 插件失效,需持续跟进
    适合人群
    需要抓取 JavaScript 渲染内容的开发者
    从事公开数据聚合、竞品监控、价格追踪等场景的技术团队
    具备一定法律合规评估能力,能判断目标网站 robots.txt 和使用条款限制的用户
    常规风险
    | 风险类型 | 说明 | |---------|------| | 账号/ IP 封禁 | 高频请求仍可能触发风控,需配合代理池和请求频率控制 | | 法律诉讼 | 抓取受保护数据(如社交媒体非公开内容)可能面临平台诉讼 | | 数据准确性 | 动态网站结构变更会导致选择器失效,需建立监控机制 | | 供应链安全 | puppeteer-extra 及依赖插件需审计,防范恶意代码注入 |