locus

💸 AI 驱动的加密钱包支付中枢

Locus 为 AI Agent 提供加密钱包支付能力,由 YC 支持的 Locus Technologies 提供基础设施,支持邮件扫描自动识别账单并执行安全支付,核心价值在于实现 AI 驱动的自动化加密支付流程。

收藏
1.3k
安装
597
版本
v1.3.0
CLS 安全性认证2026-05-21
点击查看完整报告 >

使用说明

核心用法

Locus Payment Skill 是一套连接 AI Agent 与加密钱包的支付工具集,通过 MCP(Model Context Protocol)协议实现。其核心功能包括:发送加密支付、查询钱包余额、列出代币资产、授权代币支出额度,以及从邮件中自动识别支付请求并执行付款。

使用流程分为两个阶段:首先是交互式配置,Agent 会引导用户检查并安装 mcporter 工具,配置 Locus API key(需从官方平台获取),验证连接状态;其次是动态工具调用,不同权限组的用户会获得不同的可用工具集,必须通过 mcporter list locus --schema 发现后再调用。

特色场景是「邮件→支付」自动化流程:扫描收件箱识别发票、账单、分账、报销等支付类邮件,提取金额、收款方和上下文信息,经用户确认后执行链上支付。

显著优点

1. 动态权限体系:基于用户权限组动态分配工具,实现精细化访问控制
2. 邮件智能解析:自动从非结构化邮件中提取结构化支付信息,降低人工处理成本

3. 多重安全确认:所有支付操作强制要求用户显式确认,大额支付(>$100)额外警示

4. 配置引导完善:提供交互式 setup 流程和一键脚本两种配置方式,降低使用门槛

5. 基础设施背书:依托 Y Combinator 支持的 Locus Technologies,服务可靠性有保障

潜在缺点与局限性

1. 依赖外部 npm 包:核心依赖 mcporter 需全局安装,版本未完全锁定,存在供应链风险
2. T3 来源等级:代码由个人开发者维护,非 Locus 官方直接发布,长期维护稳定性存疑

3. 功能边界依赖用户权限:动态工具机制导致功能不可预期,部分用户可能无法使用完整功能

4. 加密支付固有门槛:需要用户具备加密钱包基础知识,API key 管理存在学习成本

5. 邮件解析准确性:自动化识别支付邮件可能存在误判,需人工复核

适合的目标群体

  • 已使用 Locus 支付基础设施的开发者和企业用户
  • 需要自动化处理高频小额加密支付的场景(如 DAO 运营、创作者分账)
  • 希望将邮件账单自动转化为支付指令的效率导向用户
  • 具备基础加密钱包操作经验的 AI Agent 早期采用者

使用风险

1. 资金安全风险:加密支付不可逆,地址输入错误将导致永久资产损失
2. API key 泄露风险:key 以 Bearer token 形式存储在本地配置,需妥善保管

3. 依赖项供应链风险mcporter 若被恶意更新可能影响支付安全

4. 权限误配置风险:动态工具机制下,用户可能误判自身操作权限范围

5. 网络与性能依赖:支付执行依赖 Locus 服务端可用性和区块链网络状态

安全解读

核心用法

Locus 是一个 MCP 协议的支付基础设施,将 AI Agent 与加密货币钱包连接,支持以下核心功能:

  • 代币支付:发送代币、批量转账、批准代币支出
  • 钱包管理:查询余额、列出持有代币、管理授权
  • 邮件自动化:扫描邮件识别支付请求(账单、发票、分账),经用户批准后自动执行

使用流程采用 Agent 引导式交互:检查 mcporter 工具 → 配置 Locus API Key → 验证连接 → 动态发现可用工具(权限组决定工具范围)→ 执行支付。

显著优点

1. 权限感知设计:不同用户权限组获得不同工具集,实现细粒度访问控制
2. 强制用户确认:文档明确要求"任何支付前必须显式确认",大额支付(>$100)需额外审慎

3. 邮件场景整合:原生支持从邮件识别支付意图,适合自动化报销、账单处理等场景

4. 加密通信:全程 HTTPS/TLS 1.2+,API 请求加密传输

5. 代码质量良好:结构清晰,具备基础输入验证(API Key 格式检查),无危险函数调用

潜在缺点与局限性

| 维度 | 问题描述 |
|------|---------|
| **动态安装风险** | 依赖 `npm i -g mcporter` 全局安装,存在供应链攻击窗口 |
| **外部依赖集中** | 核心功能依赖 Locus 官方 MCP 服务(mcp.paywithlocus.com),单点故障风险 |
| **密钥管理待明确** | API Key 存储方式依赖 mcporter 实现,未明确是否加密 at rest |
| **不可逆操作** | 区块链转账不可逆,地址 typo 可能导致资金永久损失 |
| **npm 包待审计** | mcporter 包虽为官方工具,但独立安全审计缺失 |

适合人群

  • 加密原生用户:已有钱包使用经验,理解区块链交易不可逆特性
  • 自动化需求者:频繁处理账单、报销、分账等重复支付场景
  • YC F25 生态参与者:信任 Locus 项目背书的早期采用者
  • 技术安全意识较强的用户:能够审查脚本、理解 MCP 协议原理

不适合:区块链新手、无法承担资金损失风险的用户、对动态 npm 安装有顾虑的极高安全要求环境。

常规风险

1. 资金损失风险:地址输入错误、钓鱼攻击、私钥泄露均可能导致不可逆损失
2. 供应链攻击:mcporter 包或 npm registry 被篡改时,可能窃取 API Key 或篡改交易

3. 服务可用性:Locus MCP 服务中断时支付功能完全失效

4. 配置信息泄露:终端输出可能暴露敏感配置,需避免日志记录

5. 权限过度授予:需确保 API Key 权限最小化,定期轮换

建议安全措施:设置支付限额、在隔离环境测试、审计 mcporter 源码、启用交易二次确认、定期检查交易记录。

locus 内容

scripts文件夹
手动下载zip · 3.8 kB
setup.shtext/x-shellscript
请选择文件