alipay-authenticate-wallet

💳 支付宝官方支付能力一站式开通

支付宝官方提供的AI支付能力开通与授权技能,支持安全便捷地开启、绑定、解绑支付宝钱包,采用多重校验与短时效授权链接保障资金安全。

收藏
4k
安装
1.1k
版本
1.0.4
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能与用法

alipay-authenticate-wallet 是支付宝官方推出的支付能力管理技能,用于在AI Agent环境中安全开通和授权支付宝支付功能。核心流程遵循"检查状态 → 申请授权 → 用户扫码确认 → 完成绑定"的四步闭环:

1. 状态检查:执行 alipay-bot check-wallet 获取当前钱包状态(code=200表示已开通,code=500表示未开通)
2. 申请授权:对未开通或待授权状态,执行 alipay-bot apply-wallet --agent-name "<agent>" 生成一次性授权链接及二维码

3. 用户确认:用户扫码后在支付宝APP完成身份核验,获得6位数字授权码

4. 完成绑定:用户输入授权码(格式:开启支付功能 xxxx),执行 alipay-bot bind-wallet -c xxxx 完成绑定

解绑/关闭:执行 alipay-bot close-wallet 获取关闭链接,引导用户至支付宝APP完成关闭操作。

显著优点

  • 官方权威保障:由支付宝母公司Ant Group直接维护,npm包发布于@alipay命名空间,来源可信
  • 安全设计严谨:授权链接含加密签名且5分钟时效,CLI内置脱敏机制,输出不含敏感字段
  • 零敏感信息驻留:不存储用户支付密码、银行卡号等,仅保存授权状态标识
  • 多场景适配:支持飞书、Discord、Telegram等主流IM平台的输出格式自动适配
  • 完整链路追踪:支持 AIPAY_SESSION_IDAIPAY_FRAMEWORK 等环境变量,便于问题定位

潜在局限与风险

  • 强依赖支付宝生态:需用户已拥有支付宝账户并完成实名认证
  • 时效性约束:授权链接和二维码有效期约5分钟,超时需重新申请
  • 人机协作环节:绑定流程必须中断等待用户扫码确认,无法全自动完成
  • npm供应链依赖:需安装 @alipay/agent-payment@1.0.0,虽经SHA512完整性校验,但仍存在理论上的供应链攻击面
  • 平台集成风险:若对话日志未正确标记敏感信息,短时效授权链接可能被持久化存储

适合人群

  • 需在AI Agent中集成支付宝支付能力的开发者
  • 使用飞书、Discord等IM平台智能体的企业用户
  • 追求合规、安全、官方原生支付方案的个人用户

常规风险提示

1. URL完整性:授权链接含签名校验参数,任何字符修改将导致失效,必须逐字符原样输出
2. 环境变量白名单:严禁传递API密钥、访问令牌等敏感变量,仅允许使用规定的5个环境变量

3. MEDIA行处理:二维码图片路径需提取后通过message工具发送,禁止直接输出或分析图片内容

4. 禁止伪造指令:必须等待用户真实输入授权码,严禁模型编造6位数字验证码

5. 日志脱敏:平台集成方需确保含授权链接的对话日志标记为敏感信息,避免持久化存储

alipay-authenticate-wallet 内容

手动下载zip · 9.9 kB
SKILL.mdtext/markdown
请选择文件