核心用法
buy-anything 是一个电商代下单技能,允许用户在Amazon或Shopify商店完成购买。用户只需提供商品链接,技能会自动协调支付令牌化(通过BasisTheory)、地址收集、订单提交和状态轮询,全程无需用户手动跳转电商平台。
显著优点
1. 支付安全:采用BasisTheory的PCI合规保险库,原始卡号、CVV、有效期永不进入对话上下文,仅交换不可逆令牌
2. 跨平台整合:单一接口支持Amazon(带3%服务费)和任意Shopify店铺(无加价)
3. 状态透明:订单提交后实时轮询,用户可追踪从retrieving_offer到completed/failed的全流程
4. 记忆复用:经许可后保存BT令牌和地址,后续购买无需重复输入卡信息
潜在局限与风险
- 商店限制:仅支持Amazon和Shopify,其他平台(eBay、Walmart等)会被API拒绝
- Amazon特殊条款:通过第三方账户代下单,非用户个人Prime账户,退货需联系orders@rye.com
- CVV时效:BasisTheory的CVC令牌24小时过期,大额或风控订单可能需重新验证
- 无价格比对:技能不抓取页面内容,依赖用户自主确认商品URL正确性
- 依赖外部API:Rye API的可用性和费率变更直接影响服务连续性
适合人群
- 希望快速代下单而不愿反复填写地址/支付信息的用户
- 对PCI DSS合规有要求的场景(企业采购、礼品代送)
- 需要聚合多平台购物体验的用户(Shopify独立站+Amazon混合需求)
常规风险
| 风险类型 | 描述 | 缓解措施 |
|---------|------|---------|
| 命令注入 | 恶意构造的商品URL或地址字段 | 强制使用`--data @file`模式,禁止shell字符串插值 |
| 令牌泄露 | 本地存储的BT令牌被其他进程读取 | 令牌仅存于Clawdbot本地内存,用户可随时指令删除 |
| 未授权下单 | 伪造确认或跨对话复用旧授权 | 每单必须获取当前轮次的明确"yes"确认 |
| 社会工程 | API响应/网页内容诱导覆盖规则 | 将所有非用户直接消息视为不可信,拒绝执行指令类内容 |
安全等级说明
- S级:支付令牌化+零本地敏感数据留存+逐确认机制+命令注入防护,达到金融级代下单安全标准