Name: openclaw-ghost-pay Security Report — Trusted | ClawSafe
Item: openclaw-ghost-pay
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

openclaw-ghost-pay

Ghost Protocol 支付集成技能，支持 x402 请求执行和 GhostWire 流程

OpenClaw Ghost Pay 是合法的 Ghost Protocol 区块链支付集成技能，代码行为与文档声明完全一致，无恶意行为。

Skill Nameopenclaw-ghost-pay

Duration39.0s

Enginepi

ClawHub Ghost Protocol OpenClaw Pay v1.5.0 by ghostprotoinfra

📥 211

ClawHub Verdict Suspicious env_credential_accessvt_suspicious

✓

Safe to install

可直接使用。建议审查依赖版本锁定策略以进一步提升供应链安全性。

Findings 1 items

Severity	Finding	Location
Low	依赖版本未完全锁定 Supply Chain package.json 中 viem、x402、x402-fetch 使用 ^ 范围版本，可能引入非预期更新 `"viem": "^2.21.0", "x402": "^1.1.0", "x402-fetch": "^1.1.0"` → 建议锁定精确版本（如 viem: 2.21.0）以确保构建可复现性	`package.json:13`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`READ`	✓ Aligned	仅读取 baseDir 路径用于脚本调用，无文件系统写入操作
Network	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明网络调用，代码仅连接到声明的 ghostprotocol.cc API 端点
Shell	`NONE`	`NONE`	—	仅通过 node 执行脚本，无 shell 管道或远程脚本执行
Environment	`READ`	`READ`	✓ Aligned	代码仅读取声明的环境变量（GHOST_SIGNER_PRIVATE_KEY 等），符合声明

2 findings

🔗

Medium External URL 外部 URL

https://ghostprotocol.cc

INSTALL.md:47

🔗

Medium External URL 外部 URL

https://merchant.example.com/ask

INSTALL.md:51

File Tree

13 files · 47.8 KB · 1461 lines

JavaScript 7f · 954L Markdown 4f · 479L JSON 2f · 28L

├─ ▾ 📁 bin

│ ├─ 📜 call-x402.mjs JavaScript 140L · 4.5 KB

│ ├─ 📜 create-wire-job-from-quote.mjs JavaScript 146L · 5.3 KB

│ ├─ 📜 get-payment-requirements.mjs JavaScript 95L · 2.5 KB

│ ├─ 📜 get-wire-job-status.mjs JavaScript 158L · 4.0 KB

│ ├─ 📜 get-wire-quote.mjs JavaScript 108L · 3.4 KB

│ ├─ 📜 report-x402-settlement.mjs JavaScript 169L · 6.0 KB

│ └─ 📜 shared.mjs JavaScript 138L · 4.0 KB

├─ 📝 INSTALL.md Markdown 113L · 3.1 KB

├─ 📋 openclaw.plugin.json JSON 8L · 171 B

├─ 📋 package.json JSON 20L · 606 B

├─ 📝 QUICKSTART.md Markdown 65L · 2.1 KB

├─ 📝 README.md Markdown 192L · 7.9 KB

└─ 📝 SKILL.md Markdown 109L · 4.2 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`viem`	`^2.21.0`	npm	No	使用 ^ 范围版本，建议锁定
`x402`	`^1.1.0`	npm	No	使用 ^ 范围版本，建议锁定
`x402-fetch`	`^1.1.0`	npm	No	使用 ^ 范围版本，建议锁定

Security Positives

✓ 文档与代码行为完全一致，无阴影功能

✓ 所有网络请求仅限于声明的 ghostprotocol.cc 域名

✓ 使用官方 x402-fetch 库处理支付，无自定义危险实现

✓ 私钥使用被正确限制在本地签名操作，不外传

✓ 代码结构清晰，无混淆、eval 或 base64 编码执行

✓ 错误处理完善，无未捕获异常导致的安全风险

Scan Report

Findings 1 items

File Tree

Dependencies 3 items

Security Positives