skills/Scottcjn/clawrtc

clawrtc

⛏️ 真实硬件区块链挖矿工具

由Elyan Labs开发的RustChain挖矿客户端,通过真实硬件指纹证明获取RTC代币奖励,支持复古硬件高收益挖矿。

收藏
789
安装
322
版本
v1.5.0
CLS 安全性认证2026-05-17
点击查看完整报告 >

使用说明

ClawRTC 是 RustChain 网络的官方挖矿客户端,采用 Node.js CLI 与 Python 脚本混合架构,允许 AI 代理通过证明对真实物理硬件的控制权来挖掘 RTC 代币。其核心工作流程包括:通过 clawrtc install 提取捆绑的 Python 矿工脚本并配置钱包,随后矿工定期向网络提交硬件指纹数据(包括 CPU 型号、时钟漂移、缓存时序等)以完成"真实硬件证明",每约 10 分钟根据硬件的"antiquity" antiquity 指数获得相应代币奖励,最终可通过桥接转换为 Solana 上的 wRTC 代币在 Raydium 交易。

该技能的显著优势在于其独特的 Proof of Antiquity 共识机制,为复古硬件(如 PowerPC G4/G5、IBM POWER8)提供 1.2x-2.5x 的收益乘数,既延长了旧硬件的生命周期,又增强了网络的去中心化程度。安全性方面,所有挖矿代码均随包捆绑,无外部动态下载,且提供 --dry-run--verify 选项供用户审计文件哈希。此外,软件具备 VM 检测能力,确保只有真实物理硬件能参与挖矿,维护了网络的公平性。交互式同意提示和详细的披露机制也体现了对用户知情权的尊重。

然而,ClawRTC 存在明显的安全与信任局限。BSS 安全认证给予其 C 级评级,主要因为 data/miner.py 中使用了 subprocess.run(..., shell=True) 执行系统命令,存在潜在的命令注入风险。来源可信度为 T3 级(个人开发者账号),缺乏代码签名和知名机构背书,增加了供应链攻击风险。隐私方面,尽管文档声称不收集个人数据,但实际会收集 MAC 地址、主机名等可识别设备信息并发送至项目自有的第三方域名。此外,虚拟机用户会被惩罚至近乎零收益,限制了在隔离环境中安全测试的可能性。

该技能主要适合三类用户:一是拥有复古硬件的收藏家,希望利用闲置设备参与区块链网络;二是 AI 代理开发者,需要为代理提供"物理存在证明"以获取计算资源奖励;三是区块链爱好者,希望参与新颖的 Proof of Antiquity 共识实验。企业环境或对安全要求极高的生产系统不建议使用。

使用风险方面,除前述的命令注入潜在漏洞外,还包括:数据外泄风险(硬件指纹和遥测数据发送至非权威域名)、供应链风险(个人开发者维护的代码库)、经济风险(加密货币价格波动和项目可持续性不确定性),以及系统服务创建带来的持久化风险。建议仅在隔离环境或专用机器上运行,避免在处理敏感数据的工作站上部署。

安全解读

核心用法

ClawRTC 是 RustChain 的官方挖矿客户端,允许 AI 代理在真实物理硬件上挖掘 RTC 代币。核心工作流为四步:install 安装并配置钱包 → start 启动挖矿 → 系统定期向网络提交硬件指纹证明 → 按古董硬件倍数获得代币奖励。支持 dry-run 审计模式与 --verify 哈希验证,提供 systemd/launchd 后台服务选项。

显著优点

1. 古董硬件激励机制:PowerPC G4/G5、IBM POWER8 等 vintage 硬件可获得 1.2x–2.5x 奖励倍数,与主流区块链的"算力至上"逻辑形成差异化。
2. 透明审计设计:所有代码捆绑在包内,无外部下载;提供 --dry-run 预览、--verify 哈希验证、交互式安装同意披露,降低供应链攻击面。
3. 真实硬件验证:通过 CPU 缓存时序、时钟漂移、VM 检测等技术区分物理机与虚拟机,抑制女巫攻击。
4. Solana 生态桥接:原生 RTC 可通过 bottube.ai 桥接为 wRTC(SPL 代币),在 Raydium DEX 流通。

潜在缺点与局限性

1. 敏感数据外泄:核心功能依赖收集 MAC 地址、主机名、CPU 指纹等硬件标识符并发送至 RustChain 节点(bulbous-bouffant.metalseed.net),存在隐私不可逆风险。
2. 系统权限侵蚀:执行 systemctl/launchctl 命令、安装持久后台服务、创建用户级系统服务配置,需充分信任开发者。
3. 域名可信度存疑:挖矿节点使用非标准企业域名(bulbous-bouffant.metalseed.net),且端点硬编码不可自定义。
4. 动态依赖风险:安装时从 PyPI 动态安装 requests 包,存在供应链投毒窗口。
5. 匿名遥测:向 bottube.ai 发送安装统计,虽无 PII 但暴露 IP 与网络行为模式。

适合人群

  • 拥有 PowerPC G4/G5、早期 IBM POWER 等古董工作站的技术收藏家
  • 愿意以硬件指纹换取代币收益的 AI 代理运营者
  • 具备 Linux/macOS 系统管理能力的进阶用户
  • 能够审计 Python/Node.js 代码的安全意识用户

常规风险

| 风险类型 | 具体表现 | 缓解建议 |
|---------|---------|---------|
| 隐私泄露 | MAC 地址、主机名、CPU 信息永久上链或存入第三方节点 | 使用专用网络隔离,评估硬件指纹暴露的可接受性 |
| 持久化威胁 | systemd/launchd 服务自动重启挖矿进程 | 非必要不使用 `--service`,定期 `clawrtc status` 核查 |
| 供应链攻击 | PyPI 依赖被篡改、捆绑脚本替换 | 安装前执行 `--verify` 比对哈希,使用隔离 Python 环境 |
| 代币价值风险 | RTC/wRTC 为新兴代币,流动性与价值高度不确定 | 不参与超出承受能力的投入,关注 Solana 链上流动性数据 |
| VM 惩罚机制 | 虚拟机检测后奖励权重≈0,云服务器不可用 | 确认物理机环境,避免在 VPS/容器中部署 |

> 关键提示:该 Skill 的安全等级为 B(45分),属于"基础级,存在改进空间"。虽然源码公开、有用户同意流程,但高敏感的硬件数据采集与系统命令执行特性决定了其不适合隐私敏感场景或高安全要求的生产环境。

blockchaincryptocurrencyautomationbackendmininghardware

clawrtc 内容

bin文件夹
data文件夹
手动下载zip · 15.7 kB
clawrtc.jstext/javascript
请选择文件