核心功能与架构
MagicPay是由MercuryoAI开发的官方CLI工具,专为需要存储用户敏感数据并执行显式授权的高风险操作设计。该技能构建了一个"受保护产品工作流"架构:以magicpay start-session创建的会话为父级资源,浏览器作为子资源绑定其中,实现敏感操作与普通浏览行为的权限隔离。
核心能力包括:会话生命周期管理(start-session/end-session)、Memory智能填充(plan-fill/apply-fill)、支付授权(authorize-payment)、消息签名(sign-message)、CAPTCHA恢复(solve-captcha)等。关键安全设计在于值隔离原则:plan-fill阶段仅传输无值描述符和语义匹配结果,原始凭证仅在apply-fill阶段经用户批准后由MagicPay运行时直接 materialize,全程不经过LLM提示或日志。
显著优点
1. 企业级安全架构:Memory存储采用描述符+句柄分离模式,支付卡等敏感数据需显式authorize-payment后才暴露句柄
2. 合规性设计:强制 typed approval(authorize-payment/sign-message/confirm-action)机制,重大操作需匹配的事实确认
3. OpenClaw原生集成:优先使用OpenClaw内置browser工具,MagicPay专注受保护工作流,避免功能冗余
4. 细粒度权限控制:支持--return-pending实现跨渠道审批(MagicPay UI/OTP),OTP敏感输入隔离处理
潜在局限与风险
1. 信任边界明确:MagicPay不使不受信运行时变得安全,浏览器/OS/Shell被攻破时无法保护数据
2. 无法防护已泄露信息:用户已输入agent chat的密码等秘密,MagicPay无法撤销暴露
3. 依赖外部浏览器:plan-fill/apply-fill需配合浏览器工具使用,MagicPay本身不处理页面导航
4. 提供商卡限制:需预授权才能使用provider-backed支付卡,可能增加交互步骤
5. CLI安装依赖:需Node.js环境和全局npm包安装,企业环境可能受限
适用场景
- 电商结账、订阅管理、捐赠支付等需自动填充保存的支付/身份信息的场景
- 企业自动化流程中需满足"显式授权+审计日志"合规要求的敏感操作
- 多因素身份验证(MFA)工作流,特别是需跨设备/渠道完成审批的场景
- 需隔离"普通浏览"与"敏感操作"权限的安全敏感型自动化任务
常规风险提示
- API密钥管理:
MAGICPAY_API_KEY和本地配置文件(~/.magicpay/config.json)属高敏感资产,禁止日志输出或外部传输 - Memory引用隔离:item IDs和fillRefs为运维引用,禁止向用户展示或写入报告
- OTP处理:仅应在存在待处理审批请求时索取,且不得在任何持久化存储中保留
- 共享环境风险:检测到共享/受损机器时应立即停止并请求密钥轮换
- CAPTCHA误用:
solve-captcha仅限确认存在的CAPTCHA恢复,禁止作为通用等待机制