核心用法
OneMolt 是一款将密码学签名与生物识别证明结合的抗女巫身份认证方案。用户通过 Ed25519 密钥对生成设备身份,可选叠加 WorldID 的虹膜/人脸/设备级证明,实现"一人一 molt"的绑定。
传统模式:本地生成密钥对 → 签名服务挑战字符串 → 服务验证公钥完成注册,适用于无密码登录、API 请求签名、OpenClaw 代理身份声明。
WorldID 增强模式:签名挑战并发送至身份注册服务器 → 浏览器打开 World App QR 码扫描 → 完成生物证明 → 公钥与 WorldID 证明哈希存入 Supabase。后续服务可远程验证签名有效性+人类唯一性,适用于需要防机器人、防多账号的社区治理、空投领取、可信 bot 网络等场景。
显著优点
1. 密码学强安全:Ed25519 提供现代椭圆曲线安全级别,私钥本地留存,签名不可伪造
2. 生物证明叠加:WorldID 的 nullifier 哈希机制确保同一真人无法注册多个身份,有效抵御 Sybil 攻击
3. 可验证审计链:Supabase 存储注册记录与验证日志,服务方可独立核查验证级别(orb/device/face)和时间戳
4. 双模式灵活:支持纯密码学模式(隐私优先)或叠加生物证明(信任优先),适应不同合规场景
5. 开源可审计:注册服务器实现完全开源(Next.js + Supabase),可自行托管消除单点信任
潜在缺点与局限性
- WorldID 依赖外部信任:虹膜/人脸数据由 Tools for Humanity 运营,存在中心化审查和地缘政治风险
- 服务器可用性:远程验证依赖
onemolt.ai或自托管节点,服务中断将导致 WorldID 增强功能失效 - 隐私权衡:WorldID 模式关联生物特征与公钥,虽 nullifier 为哈希形式,但仍比纯 Ed25519 更易被追溯
- 生态成熟度:WorldID 覆盖区域有限,部分地区用户无法完成 orb 级验证
- 密钥管理责任:私钥丢失无恢复机制,设备损坏即身份永久丢失
适合人群
- OpenClaw/AI 代理开发者需向外部服务证明人机身份
- 社区运营者希望建立防女巫的可信 bot 网络
- 空投/治理项目方寻求抗多账号的参与凭证
- 隐私技术研究者探索生物证明与密码学的融合方案
常规风险
- 私钥泄露:设备被入侵导致身份盗用,建议配合硬件安全模块
- 服务器作恶:注册服务器返回虚假验证状态,建议校验开源代码或自托管
- WorldID 误封:生物特征误判导致合法用户无法注册,需保留纯密码学备用通道