核心用法
OneMolt 是一套去中心化身份验证技能,通过 identity-proof.sh 脚本实现双重验证机制:
传统 Ed25519 签名流
register:设备生成密钥对,对服务提供的挑战字符串签名info:查看本地设备身份(Device ID、公钥、签名)- 服务通过公钥验证签名,确认私钥控制权
WorldID 增强流
register-worldid:设备签名后跳转浏览器,用 World App 扫码完成生物特征/Orb 验证verify-remote:远程验证签名有效性 + WorldID 证明层级(orb/device/face)status:查询注册状态与验证级别
显著优点
1. 密码学安全性:Ed25519 椭圆曲线算法,私钥本地存储永不外泄
2. 抗女巫攻击:WorldID 零知识证明确保一人一身份,nullifier hash 防止重复注册
3. 无密码认证:替代传统密码,通过密钥签名证明身份
4. 可验证层级:orb(最高)> device > face,适应不同安全需求场景
5. 开放架构:Registry 开源(Next.js + Supabase),支持自建节点
潜在缺点与局限性
- 中心化依赖:WorldID 验证依赖 Tools for Humanity 的基础设施
- 隐私权衡:WorldID 需生物特征数据,虽有零知识证明但仍需信任 Orb 硬件
- 网络要求:
register-worldid需浏览器交互与二维码扫描,CLI 场景受限 - Registry 单点:默认
onemolt.ai服务器若宕机,远程验证失效(需自建 fallback) - 学习曲线:Ed25519、nullifier、challenge-response 等概念对非技术用户门槛较高
适合人群
- 运行 molt bot 的开发者/运营者,需证明「真人操作」以获取平台信任
- 构建 bot 社区的项目方,需防刷量、防机器人农场
- 追求无密码、密码学原生身份方案的隐私倡导者
常规风险
| 风险类型 | 说明 | 缓解建议 |
|---------|------|---------|
| 私钥泄露 | `device.json` 被窃取则身份被盗 | 加密存储、权限控制、定期轮换 |
| 钓鱼注册 | 恶意服务提供伪造挑战字符串 | 验证服务域名、白名单机制 |
| Registry 审查 | 服务器可记录验证日志 | 自建 Registry、混币网络结合 |
| WorldID 断供 | 政策或技术原因导致验证失败 | 保留纯 Ed25519 降级方案 |