xerolite

Xerolite 是 OpenClaw 框架与 Xerolite 交易平台（TradingView-to-IB 券商桥接服务）的官方集成技能，专为量化交易和自动化投资场景设计。该技能通过 Node.js CLI 工具提供完整的交易生命周期管理，包括通过 REST API 下达买卖订单、搜索可交易合约详情，以及接收并格式化 Xerolite 推送的实时交易通知 Webhook。

核心用法上，用户通过简单的命令行参数即可执行交易操作，如 node xerolite.mjs order place 配合 symbol、action、qty 等参数完成下单，或使用 contract search 查询合约信息。技能内置 Webhook 转换模块，能将 Xerolite 推送的原始 JSON 数据格式化为易读的交易通知，并自动转发至 Telegram 等即时通讯渠道。安装脚本会自动配置 OpenClaw 网关的 webhook 端点，实现即装即用。

显著优点体现在安全性与轻量性方面。作为 OpenClaw 官方组织（T2 级可信来源）维护的技能，其通过 BSS S 级安全认证，代码中完全避免 eval/exec/system 等危险函数，依赖 Node.js 18+ 原生 fetch 而无任何外部 npm 包，杜绝了供应链攻击风险。敏感信息完全通过环境变量注入，无硬编码密钥风险。安装脚本操作范围严格限定于用户主目录，并包含完善的错误处理。

潜在局限性包括平台依赖性较强，仅支持 Xerolite 生态系统和 Interactive Brokers（IB）券商，对其他交易平台无兼容性。功能相对专注基础交易，缺乏高级订单类型的显式支持。此外，Webhook 接收需要正确配置 Bearer Token 和网关重启，对非技术用户有一定配置门槛。

适合的目标群体主要是使用 TradingView 进行技术分析并需要通过 Interactive Brokers 执行交易的量化投资者、算法交易开发者，以及需要实时接收交易状态通知的多账户管理者。对于追求低风险自动化、希望避免复杂 API 集成的散户交易者同样适用。

使用风险方面，除金融市场固有的投资风险外，技术层面需确保 API 密钥通过安全的环境变量存储，避免泄露导致账户被盗用。建议强制使用 HTTPS 协议传输并定期轮换 API Key。由于技能会直接操作真实资金账户，配置错误可能导致非预期交易，建议先在模拟盘充分测试。Webhook 端点暴露于公网时需确保 token 复杂度足够，防止伪造通知。