alipay-authenticate-wallet

💳 支付宝官方 · 安全开通AI支付能力

支付宝官方AI支付开通与授权技能,安全可控地管理智能体支付能力,支持开通、绑定、解绑全流程。

收藏
4.5k
安装
1.1k
版本
1.0.5
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

本技能为支付宝官方提供的AI支付能力管理工具,主要用于以下场景:

1. 开通支付功能:执行 alipay-bot check-wallet 检测状态,未开通时自动执行 apply-wallet 获取授权链接与二维码,用户扫码完成授权后执行 bind-wallet 绑定
2. 查询开通状态:通过 check-wallet 返回的 code(200/500)和 access_url 判断当前状态(已开通已授权/已申请未授权/未开通)

3. 解绑/关闭支付能力:执行 close-wallet 获取支付宝官方关闭链接

关键流程:检查状态 → 申请开通(如需)→ 输出二维码 → 等待用户授权码 → 绑定完成。所有 CLI 输出必须逐字符原样输出,URL 和二维码链接具有时效性(约5分钟),且包含加密签名,任何字符修改都会导致失效。

显著优点

  • 官方背书:由 Ant Group(支付宝母公司)官方维护,npm 包通过 @alipay scoped namespace 发布,具备命名空间独占性和完整性哈希校验
  • 安全设计完善
  • CLI 内置脱敏机制,正常输出不含敏感信息
  • 授权链接为一次性短时效令牌(5分钟),降低泄露风险
  • 强制完整性校验(npm view dist.integrity 比对 SHA512)防止供应链攻击
  • 环境变量白名单严格限制,禁止传递 API 密钥等敏感信息
  • 流程闭环:涵盖开通、授权、绑定、解绑、问题反馈全生命周期
  • 多平台适配:通过 AIPAY_OUTPUT_CHANNEL 支持飞书、Discord、Telegram 等渠道格式优化

潜在缺点与局限性

  • 时效性约束:授权二维码和链接有效期仅约5分钟,用户需即时操作,过期需重新申请
  • 单向依赖 npm:必须依赖外部 npm 包 @alipay/agent-payment@1.0.0,网络波动或 registry 故障会影响使用
  • 无降级方案:未开通状态下无法绕过授权流程,必须完成完整绑定时序
  • 环境变量传递依赖:部分功能(如渠道适配、问题追踪)依赖调用框架提供上下文变量,简单集成可能丢失优化体验
  • 授权码人工传递:用户需手动从支付宝 APP 复制授权码至对话,流程存在断点

适合人群

  • 智能体开发者:需要在 AI 对话场景中集成支付宝支付能力的 Agent 构建者
  • 企业用户:希望通过官方渠道安全开通 AI 代付、智能导购等支付场景的组织
  • 平台运营方:管理多用户支付授权状态、需统一解绑/关闭能力的运营角色

常规风险

1. 日志泄露风险:授权链接虽短时效,但有效期内持有即可操作。平台需确保对话日志标记敏感信息,避免持久化存储或转发至监控系统
2. 供应链攻击:虽支持 integrity 校验,但若集成方跳过校验步骤或使用 @latest 而非锁定版本,存在被篡改风险

3. 社交工程利用:攻击者可能诱导用户提前透露授权码,需确保授权码仅由用户主动发起且格式验证严格

4. 环境变量注入:若框架误将敏感变量(API 密钥、数据库凭证)注入 AIPAY_* 前缀变量,可能被误传递,需严格遵循白名单

alipay-authenticate-wallet 内容

手动下载zip · 9.9 kB
SKILL.mdtext/markdown
请选择文件