核心用法
本 Skill 为开发者提供 CAPTCHAS Agent API 与 OpenClaw 平台的完整集成方案,包含两种集成模式:
OpenResponses Gateway 模式:通过标准 tools 数组调用 /v1/responses 端点,无需编写自定义执行逻辑,由网关代理完成 API 通信。适合快速原型验证和低代码场景。
OpenClaw Plugin 模式:使用 api.registerTool() 注册自定义工具,开发者完全掌控执行逻辑,可实现本地预处理、缓存策略或与其他服务的深度集成。适合生产环境的定制化需求。
三大核心工具
1. captchas_agent_verify:智能决策引擎,返回 allow|deny|challenge 三种状态,支持行为信号分析(signals)和多种验证模式(backend_linked/agent_only)
2. captchas_agent_challenge_complete:完成挑战并铸造验证令牌,需配合 challenge_id 和 answer 使用
3. captchas_agent_token_verify:敏感操作前的令牌校验,防止重放攻击和令牌伪造
显著优点
- AI 原生设计:区别于传统 CAPTCHA 的固定规则,支持基于行为信号的动态风险评估
- 灵活部署:Site Key 可省略,自动从 API Key 或账户默认配置解析
- 多模态挑战:支持选择题、图像识别、行为分析三种输入类型,以及银行级或 AI 生成两种挑战来源
- 架构解耦:验证逻辑与业务逻辑分离,通过令牌机制实现无状态安全校验
潜在局限
- 厂商锁定:深度绑定 CAPTCHAS 服务,迁移成本较高
- 网络依赖:所有核心调用均需实时连接 CAPTCHAS 云端 API
- 信号隐私:文档明确警示避免在
signals中发送 PII,但实际落地需开发者自律 - 调试透明度:
challenge_source和verification_mode的黑盒决策机制可能增加故障排查难度
适合人群
- 构建 AI Agent 或自动化工作流的安全验证层
- 需要替代传统 reCAPTCHA/hCaptcha 的现代化人机验证方案
- OpenClaw 生态用户寻求即插即用的安全工具
常规风险
| 风险类型 | 说明 |
|---------|------|
| 密钥泄露 | `CAPTCHAS_API_KEY` 硬编码风险,建议使用密钥管理服务 |
| 中间人攻击 | 必须验证 `CAPTCHAS_ENDPOINT` 的 TLS 证书链 |
| 令牌重放 | 依赖 `captchas_agent_token_verify` 实现,但需业务层配合过期策略 |
| 隐私合规 | `signals` 对象可能意外包含用户设备指纹,需 GDPR/CCPA 合规审查 |
> 注:安全认证报告为系统占位生成,未执行实际安全扫描。生产部署前建议进行独立渗透测试和源代码审计。