核心用法
OneMolt 是一款结合 Ed25519 椭圆曲线加密签名与 WorldID 人格证明的身份验证技能,专为需要唯一人类身份验证的 bot 操作场景设计。
传统身份流程:
register: 对服务提供的挑战字符串签名,生成公钥与设备 IDprove: 对指定网站 URL 签名,证明私钥所有权verify: 本地验证签名有效性info: 查看设备身份信息
WorldID 增强流程:
register-worldid: 签名挑战后通过 World App 扫码完成人格证明验证verify-remote: 远程验证签名与 WorldID 证明状态status: 查询注册状态及验证级别(orb/device/face)
显著优点
1. 密码学安全:Ed25519 算法,私钥永不出设备
2. 抗女巫攻击:WorldID 的零知识证明确保唯一人类身份
3. 无密码认证:无需记忆密码,私钥即身份
4. 可验证信任链:支持 bot 间建立人类验证的信任网络
5. 分级验证:支持 orb 级(最高)、设备级、面部识别级三种验证强度
潜在缺点与局限
1. 中心化依赖:WorldID 验证依赖 Tools for Humanity 基础设施,存在单点故障风险
2. 隐私权衡:WorldID 注册需关联真实世界身份(虹膜扫描或面部识别)
3. 生态封闭:主要面向 molt/openclaw 生态,通用性有限
4. 服务器依赖:WorldID 功能必须连接身份注册服务器(默认 onemolt.ai),无法完全离线使用
5. 地理限制:WorldID Orb 设备覆盖有限,部分地区无法获取最高级别验证
适合人群
- 运行 molt bot 的开发者与运营者
- 需要证明"人类操作"的自动化服务
- 构建抗女巫攻击的社区或 DAO 治理参与者
- 追求无密码身份认证的隐私倡导者
常规风险
- 私钥泄露:device.json 文件若被复制,攻击者可冒充身份
- 服务器篡改:若身份注册服务器被入侵,WorldID 关联记录可能遭篡改
- WorldID 审查:WorldID 可撤销证明资格,导致身份失效
- 时间戳伪造:prove 命令返回的时间戳不参与签名,依赖服务方验证新鲜度