扫描报告
5 /100
x402-agent
Auto-detect and pay x402 crypto paywalls for AI agents using EIP-3009 USDC transfers on Base network
Legitimate x402 crypto payment library for AI agents with no malicious behavior; all file I/O and crypto operations are fully documented and align with the skill's stated purpose.
可以安装
Approve for use. The skill is a standard crypto-payment interceptor with proper policy controls, spending limits, and domain filtering. No action needed.
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | WRITE | ✓ 一致 | SKILL.md:122 logFilePath + spendFilePath are declared as config options; both wr… |
| 网络访问 | READ | READ | ✓ 一致 | HTTP requests to external x402 endpoints documented in SKILL.md:27-32 What Happe… |
| 命令执行 | NONE | NONE | — | No shell/exec calls in production source. bundle.sh only runs during build (claw… |
| 环境变量 | READ | READ | ✓ 一致 | X402_WALLET_PRIVATE_KEY read documented in SKILL.md:44 metadata.openclaw.require… |
| 技能调用 | NONE | NONE | — | No inter-skill invocation detected. |
| 剪贴板 | NONE | NONE | — | No clipboard access found. |
| 浏览器 | NONE | NONE | — | No browser automation found. |
| 数据库 | NONE | NONE | — | No database access found. |
1 高危 34 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="your-api-key-here" clawmart/PUBLISHING.md:21 中危 钱包地址 加密货币钱包地址
0x833589fCD6eDb6E08f4c7C32D4f71b54bdA02913 README.md:27 中危 外部 URL 外部 URL
https://api.example.com/premium/data README.md:33 中危 外部 URL 外部 URL
https://taraquinn.ai SKILL.md:8 中危 钱包地址 加密货币钱包地址
0x036CbD53842c5426634e7929541eC2318f3dCF7e SKILL.md:110 中危 外部 URL 外部 URL
https://api.example.com/premium/weather SKILL.md:145 中危 外部 URL 外部 URL
https://api.example.com/premium announcements/community-post.md:64 中危 外部 URL 外部 URL
https://www.shopclawmart.com/listings/x402-paywall-kit announcements/community-post.md:88 中危 外部 URL 外部 URL
https://www.shopclawmart.com clawmart/PUBLISHING.md:5 中危 外部 URL 外部 URL
https://www.shopclawmart.com/api/v1/listings clawmart/PUBLISHING.md:23 中危 外部 URL 外部 URL
https://www.shopclawmart.com/api/v1/listings/$ clawmart/PUBLISHING.md:36 中危 外部 URL 外部 URL
https://faucet.circle.com demo/README.md:23 中危 外部 URL 外部 URL
https://portal.cdp.coinbase.com/products/faucet demo/README.md:24 中危 外部 URL 外部 URL
https://www.alchemy.com/faucets/base-sepolia demo/README.md:27 中危 外部 URL 外部 URL
https://facilitator.cdp.coinbase.com docs/PRD.md:199 中危 钱包地址 加密货币钱包地址
0x5b99070C84aB6297F2c1a25490c53eE483C8B499 docs/PRD.md:234 中危 外部 URL 外部 URL
https://x402.org docs/PRD.md:746 中危 外部 URL 外部 URL
https://docs.cdp.coinbase.com/x402 docs/PRD.md:747 中危 外部 URL 外部 URL
https://www.quicknode.com/guides/x402 docs/PRD.md:748 中危 外部 URL 外部 URL
https://docs.openclaw.ai/tools/clawhub docs/PRD.md:751 中危 外部 URL 外部 URL
https://snyk.io/blog/openclaw-skills-credential-leaks-research/ docs/PRD.md:752 中危 外部 URL 外部 URL
https://portal.cdp.coinbase.com integration/README.md:32 中危 外部 URL 外部 URL
https://api.example.com/premium-data packages/agent/README.md:32 中危 钱包地址 加密货币钱包地址
0x70997970C51812dc3A010C7d01b50e0d17dc79C8 packages/agent/src/__tests__/interceptor.test.ts:19 中危 外部 URL 外部 URL
https://custom-facilitator.example.com packages/express/src/__tests__/middleware.test.ts:141 中危 外部 URL 外部 URL
https://x402.org/facilitator packages/express/src/middleware.ts:35 中危 外部 URL 外部 URL
https://api.example.com/data packages/shared/README.md:60 中危 外部 URL 外部 URL
https://taraquinn.ai/schemas/x402-policy.json references/policy.example.json:2 中危 外部 URL 外部 URL
https://dashboard.stripe.com/products taraquinn-integration/INTEGRATION.md:23 中危 外部 URL 外部 URL
https://www.npmjs.com/org/x402-kit taraquinn-integration/product-card.tsx:118 中危 外部 URL 外部 URL
https://clawhub.ai/skills/x402-agent taraquinn-integration/product.json:35 中危 外部 URL 外部 URL
https://taraquinn.ai/api/products/x402-paywall-kit/download taraquinn-integration/use-x402-payment.ts:15 中危 外部 URL 外部 URL
https://clawhub.ai x402-agent/PUBLISHING.md:47 提示 邮箱 邮箱地址
[email protected] clawmart/listing.json:21 目录结构
66 文件 · 198.8 KB · 6078 行 Markdown 19f · 2853L
TypeScript 32f · 2808L
JSON 13f · 353L
Shell 1f · 54L
JavaScript 1f · 10L
├─
▾
announcements
│ ├─
community-post.md
Markdown
│ ├─
LAUNCH-CHECKLIST.md
Markdown
│ └─
tweets.md
Markdown
├─
▾
clawmart
│ ├─
bundle.sh
Shell
│ ├─
listing.json
JSON
│ └─
PUBLISHING.md
Markdown
├─
▾
demo
│ ├─
agent.ts
TypeScript
│ ├─
README.md
Markdown
│ └─
server.ts
TypeScript
├─
▾
docs
│ ├─
PRD.md
Markdown
│ └─
PROGRESS.md
Markdown
├─
▾
integration
│ ├─
base-sepolia.test.ts
TypeScript
│ └─
README.md
Markdown
├─
▾
packages
│ ├─
▾
agent
│ │ ├─
▾
src
│ │ │ ├─
▾
__tests__
│ │ │ │ └─
interceptor.test.ts
TypeScript
│ │ │ ├─
index.ts
TypeScript
│ │ │ └─
interceptor.ts
TypeScript
│ │ ├─
package.json
JSON
│ │ ├─
README.md
Markdown
│ │ ├─
tsconfig.json
JSON
│ │ ├─
tsup.config.ts
TypeScript
│ │ └─
vitest.config.ts
TypeScript
│ ├─
▾
express
│ │ ├─
▾
src
│ │ │ ├─
▾
__tests__
│ │ │ │ └─
middleware.test.ts
TypeScript
│ │ │ ├─
index.ts
TypeScript
│ │ │ └─
middleware.ts
TypeScript
│ │ ├─
package.json
JSON
│ │ ├─
README.md
Markdown
│ │ ├─
tsconfig.json
JSON
│ │ ├─
tsup.config.ts
TypeScript
│ │ └─
vitest.config.ts
TypeScript
│ └─
▾
shared
│ ├─
▾
src
│ │ ├─
▾
__tests__
│ │ │ ├─
logger.test.ts
TypeScript
│ │ │ └─
policy.test.ts
TypeScript
│ │ ├─
▾
logger
│ │ │ └─
index.ts
TypeScript
│ │ ├─
▾
policy
│ │ │ └─
index.ts
TypeScript
│ │ ├─
▾
types
│ │ │ └─
index.ts
TypeScript
│ │ └─
index.ts
TypeScript
│ ├─
package.json
JSON
│ ├─
README.md
Markdown
│ ├─
tsconfig.json
JSON
│ ├─
tsup.config.ts
TypeScript
│ └─
vitest.config.ts
TypeScript
├─
▾
references
│ ├─
agent-setup.example.ts
TypeScript
│ └─
policy.example.json
JSON
├─
▾
taraquinn-integration
│ ├─
INTEGRATION.md
Markdown
│ ├─
pay-with-usdc-button.tsx
TypeScript
│ ├─
product-card.tsx
TypeScript
│ ├─
product.json
JSON
│ ├─
SELF-INTEGRATION.md
Markdown
│ ├─
stripe-checkout.ts
TypeScript
│ ├─
usdc-paywall.ts
TypeScript
│ ├─
use-x402-payment.ts
TypeScript
│ └─
wagmi-config.ts
TypeScript
├─
▾
x402-agent
│ ├─
▾
references
│ │ ├─
agent-setup.example.ts
TypeScript
│ │ └─
policy.example.json
JSON
│ ├─
PUBLISHING.md
Markdown
│ └─
SKILL.md
Markdown
├─
▾
x402-agent-free
│ ├─
▾
references
│ │ └─
basic-setup.example.ts
TypeScript
│ ├─
PUBLISHING.md
Markdown
│ └─
SKILL.md
Markdown
├─
eslint.config.mjs
JavaScript
├─
package.json
JSON
├─
README.md
Markdown
├─
SKILL.md
Markdown
├─
tsconfig.base.json
JSON
├─
tsconfig.json
JSON
├─
vitest.config.ts
TypeScript
└─
vitest.integration.config.ts
TypeScript
依赖分析 5 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
@x402/core | ^2.5.0 | npm | 否 | Upstream x402 protocol library |
@x402/evm | ^2.5.0 | npm | 否 | EVM EIP-3009 signing scheme |
@x402/fetch | ^2.5.0 | npm | 否 | Upstream fetch wrapper |
viem | ^2.0.0 | npm | 否 | Ethereum library for wallet/signing |
@x402/express | ^2.5.0 | npm | 否 | Express middleware for x402 servers |
安全亮点
✓ No base64, obfuscation, or eval() patterns found anywhere in the codebase
✓ No credential exfiltration or suspicious outbound network calls detected
✓ Private key access is limited to local EIP-3009 signing via viem — key never leaves the process or appears in logs
✓ Comprehensive policy engine with per-request limits, daily spend caps, domain allow/deny lists, and human-approval gates
✓ Payment logging is append-only to user-specified paths with no default paths in sensitive locations
✓ PRD.md contains explicit security requirements including 'Never log private keys' and 'env vars for all secrets'
✓ Unit tests cover policy evaluation, spend tracking, and payment flow with 38 tests in interceptor.test.ts
✓ Dependencies use pinned major versions (^2.5.0 for @x402/*, ^2.0.0 for viem)
✓ clawmart/PUBLISHING.md hardcoded API key is a documented placeholder ('your-api-key-here') with no actual credential value