Agent Commerce Engine

🛒 智能体原生电商的标准化桥梁

电商购物榜 #1

面向智能体的标准化电商引擎,通过统一协议连接任意无头电商后端,支持商品发现、购物车管理与安全用户认证。

收藏
9.4k
安装
3.5k
版本
1.7.0
CLS 安全性认证2026-07-06
点击查看完整报告 >

使用说明

核心用法

Standard Agentic Commerce Engine 是一款生产级的通用智能电商引擎,作为自主智能体与现代电商后端之间的标准化桥梁。核心功能涵盖:

  • 商品发现search/list 命令支持分页浏览大型商品目录,get 命令获取详细规格与变体信息
  • 购物车管理:原子级操作(add-cart/update-cart/remove-cart/clear-cart),支持增量或绝对数量修改
  • 订单创建create-order 将购物车转为待支付订单,返回支付 URL 供用户手动完成
  • 用户管理:本地 Token 认证(login/logout)、个人资料维护与订单历史查询
  • 品牌信息:获取品牌故事、企业信息与客服渠道

显著优点

1. 协议标准化:通过 SERVER_SPEC.md 规范,任何现有网站可快速升级为 "Agent-Native" 后端
2. 生产就绪:提供 FastAPI 参考实现,分钟级部署兼容后端

3. 安全设计:自 v1.4.0 起不存储明文密码,v1.4.7 强制 HTTPS,Token 本地化存储(0600 权限)

4. 无状态架构:通过 x-api-token/x-user-account/x-visitor-id 头部管理会话,无需 Cookie

5. 匿名支持:UUID v4 访客 ID 支持未认证用户的购物车功能

潜在缺点与局限性

  • 支付瓶颈:智能体无法直接执行支付(缺乏金融授权),必须将支付 URL 交接给人类用户
  • 后端依赖:需目标电商后端实现兼容的 API 规范,非现成方案
  • 环境配置:需 Python3 环境及可选环境变量(COMMERCE_URLCOMMERCE_BRAND_ID
  • 认证摩擦:首次使用需引导用户完成注册/登录流程

适合人群

  • 希望为品牌构建 AI 购物助手的开发者与电商技术团队
  • 拥有无头电商架构(Headless Commerce)的企业
  • 探索 Agentic Web 应用场景的产品团队

常规风险

| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| Token 泄露 | 本地 JSON 存储的认证 Token 若被窃取可导致账户劫持 | 0600 文件权限、强制 HTTPS、支持随时 `logout` 清除 |
| 中间人攻击 | 早期版本可能存在 HTTP 传输风险 | v1.4.7+ 强制 HTTPS 加密 |
| 支付安全 | 智能体不触碰支付环节,但需确保交接 URL 不被篡改 | 依赖后端 HTTPS 与数字签名 |
| 隐私追踪 | 访客 ID 虽为匿名 UUID,仍存在跨会话关联可能 | 本地存储、无个人身份信息嵌入 |

安全解读

核心用法

Standard Agentic Commerce Engine 是一个生产级的通用电商代理引擎,通过标准化协议连接自主代理与现代无头电商后端。核心能力包括:

  • 商品发现search/list 命令支持分页浏览大型目录,get 获取详细规格与变体信息
  • 购物车管理:原子级操作(add-cart/update-cart/remove-cart/clear-cart),支持数量增减与绝对值设置
  • 订单创建create-order 生成待支付订单并返回支付 URL,由用户完成最终支付环节
  • 用户管理:无状态认证,Token 本地存储,支持 profile 查询与更新
  • 品牌信息:获取品牌故事、企业信息、客服渠道等叙事内容

技术实现上,通过 python3 scripts/commerce.py CLI 调用,使用 --store <url> 指定目标电商后端,依赖 x-api-token 头部认证,强制 HTTPS 传输。

显著优点

1. 协议标准化:提供 SERVER_SPEC.md 规范,任何现有网站可快速实现 "Agent-Native" 接口
2. 安全设计成熟

3. 生产就绪:提供 Lafeitu 等真实案例验证,代码结构清晰(1,044行,566行可执行代码)
4. 依赖极简:仅依赖 Python 标准库 + requests,无已知 CVE

5. 六维安全认证:静态分析95分、动态行为98分、网络流量95分、隐私合规92分,总分95分获 A 级

  • Token 替代密码持久化,本地 JSON 存储设 0600 权限
  • v1.4.7+ 强制 HTTPS,拒绝明文传输
  • 按域名隔离凭证,Visitor ID 匿名化处理

潜在局限

1. 支付环节断点:代理无法直接执行消费支付(缺乏金融授权),需人工介入完成最终支付
2. T3 来源风险:维护者为个人开发者(NowLoadY),虽经 Clawdhub 官方发布,但企业级支持能力有限

3. 后端依赖:功能质量完全依赖目标 --store 后端的实现规范程度

4. 环境变量弃用COMMERCE_URL 等环境变量标记为未来版本移除,需迁移至 --store 参数

5. 匿名追踪争议:Visitor ID 虽为 UUID v4 无个人信息,但仍属持续性标识符

适合人群

  • 电商开发者:需快速为现有平台添加 Agent 能力的团队
  • 品牌运营方: artisanal/独立品牌希望接入 AI 购物代理(如 Lafeitu 案例)
  • 代理构建者:开发购物助手、比价工具、智能采购代理的工程师
  • 隐私敏感用户:希望 Token 本地存储、不持久化密码的安全意识用户

常规风险

| 风险类别 | 说明 | 缓解措施 |
|---------|------|---------|
| 凭证泄露 | Token 本地存储虽设 0600,但 root/物理访问仍可读取 | 定期 `logout` 清理,使用专用系统用户运行 |
| 中间人攻击 | 强制 HTTPS 但依赖系统证书链 | 确保系统 CA 证书更新,企业环境可 pinning |
| 后端作恶 | `--store` URL 完全由用户指定,引擎无法验证后端可信度 | 仅连接已知可信电商 API,审查 `SERVER_SPEC.md` 实现 |
| 订单纠纷 | 代理创建订单后人工支付环节脱节 | 明确告知用户支付责任边界,保留订单确认凭证 |
| 版本滞后 | 个人维护项目更新频率不确定 | 订阅 GitHub releases,社区反馈驱动迭代 |

Agent Commerce Engine 内容

scripts文件夹
lib文件夹
手动下载zip · 18.6 kB
__init__.pytext/plain
请选择文件