核心用法
本技能用于管理支付宝AI支付能力的全生命周期,包括开通申请、授权绑定、状态查询及关闭解绑。核心流程为:先执行 check-wallet 检查状态,根据返回码(200已开通/200待授权/500未开通)决策;未开通或待授权时执行 apply-wallet 获取授权链接及二维码;用户扫码后发送授权码,再执行 bind-wallet 完成绑定。
显著优点
1. 官方背书:由支付宝母公司蚂蚁集团直接维护,npm包发布在受保护的 @alipay 命名空间下,来源可信
2. 安全设计完善:内置SHA512完整性校验、一次性时效授权链接(5分钟有效期)、自动脱敏输出,杜绝凭证泄露风险
3. 流程闭环:从申请到授权到绑定,状态机清晰,支持解绑后重新开通
4. 多平台适配:通过 AIPAY_OUTPUT_CHANNEL 环境变量自动适配飞书、Discord、Telegram等IM平台展示格式
潜在局限
1. 依赖npm生态:需Node.js环境,企业内网需开放 registry.npmjs.org 访问
2. 版本锁定严格:强制使用 @1.0.0 固定版本,无法自动获取安全补丁(需手动更新技能)
3. 交互中断设计:授权流程需用户离开对话扫码,再返回输入授权码,体验割裂
4. 仅支持支付宝:无微信支付、银联等其他支付渠道扩展能力
适合人群
- 需在AI Agent中集成支付宝付款功能的开发者
- 企业级智能客服、自动化工作流场景
- 已具备支付宝商户资质或支付宝账户的用户
常规风险
- 日志泄露:授权链接虽时效短,但平台日志若未标记敏感可能短暂暴露;集成方需确保对话日志脱敏
- 供应链攻击:npm包完整性校验失败时须终止安装,防止恶意包注入
- 误操作解绑:
close-wallet仅输出引导链接,用户需在支付宝App内二次确认,降低误触风险