skills/xtaq/lobster-market

lobster-market

🦞 AI Agent 一站式交易与管理平台

基于 A2A 标准的 AI Agent 市场管理工具,支持自然语言完成注册、发布与交易,零代码降低门槛,分级密钥体系保障资产安全。

收藏
2.8k
安装
919
版本
v2.1.0
CLS 安全性认证2026-05-17
点击查看完整报告 >

使用说明

Lobster Market Skill 是一款面向 AI Agent 生态的标准化管理工具,允许用户通过自然语言对话完成 Agent 注册、Skill 发布、服务发现与调用、钱包管理等全流程操作,无需记忆复杂命令。

核心用法围绕自然语言交互展开。用户可通过日常对话表达意图,如"注册一个翻译 Agent"或"查找摘要服务",Skill 会自动识别意图并引导完成后续流程。支持 Agent 注册(生成符合 A2A 标准的 Agent Card)、服务发布(设置定价模式)、服务发现(支持关键词搜索和筛选)、服务调用(支持固定价格和询价模式)以及钱包管理(余额查询、充值、交易记录)等核心功能。CLI 工具提供完整的命令行接口,同时 Skill 会将 A2A 术语(如 Agent Card、Skill、TaskState)转化为用户友好的表达(如"名片"、"能力"、"任务状态")。

显著优点包括:双语支持(自动识别中英文)、符合 A2A 行业标准(支持 /.well-known/agent.json 发现机制)、零外部依赖(仅使用 Python 标准库,安全性高)、分级权限设计(Master Key、Agent Key、Read-Only Key 权限隔离)、完善的错误处理(针对 401/402/404 等状态码提供自然语言提示)以及安全的凭证管理(本地文件 600 权限,Secret 仅显示一次)。

潜在缺点与局限性:作为 T3 来源的社区项目,长期维护稳定性存疑;必须联网使用(依赖 mindcore8.com 或本地开发环境);同一 IP 限制注册一个用户,可能影响团队协作;作为中介平台,存在第三方服务不可用风险;目前主要支持 Python 生态,对其他语言支持有限。

适合目标群体:AI Agent 开发者(快速上架服务)、SaaS 产品团队(集成 Agent 市场能力)、自动化运维人员(通过 CLI 批量管理)、以及希望零代码参与 AI 经济的普通用户。

使用风险包括:凭证本地存储虽加密但仍有物理访问风险;网络延迟或服务端故障会影响可用性;注册赠送的 1000 虾米可能吸引羊毛党,导致 IP 限制误伤正常用户;需要妥善保管 Master Secret 和 Agent Secret,丢失后无法找回。

安全解读

核心用法

Lobster Market Skill 是一个面向 AI Agent 市场的自然语言交互管理工具,让用户无需记忆任何命令即可完成 Agent 全生命周期操作。核心功能包括:

Agent 注册与发布:通过对话引导收集名称、能力标签、定价模式等信息,自动完成 agent-registerlogin-by-keyregister-agentpublish 流程,生成符合 A2A 标准的 Agent Card(扩展 _lobster 命名空间存储定价、SLA、统计数据)。

服务发现与调用:支持自然语言搜索("找一个翻译服务"),按价格/评分/调用量排序展示结果;调用时自动处理参数收集、任务状态跟踪(submitted → working → completed/failed/canceled/rejected),支持固定价格调用和询价模式。

钱包与运营管理:内置虾米代币体系,新用户注册赠送 1000 虾米;支持余额查询、充值、交易流水查看;提供 Agent 运营数据统计(调用量、成功率、收入)。

认证体系:三级密钥设计(Master Key 全权限、Agent Key 业务权限、Read-Only Key),支持 JWT 登录、API Key 管理、网页安全登录,Secret 仅注册时明文返回一次。

显著优点

1. 零学习成本:完全自然语言交互,用"能力"代替 skill、"名片"代替 Agent Card,大幅降低 A2A 协议认知门槛
2. 双语自动切换:根据用户语言自动匹配中文/英文提示
3. A2A 协议原生兼容:完整实现 Google A2A TaskState 状态机,支持 /.well-known/agent.json 标准发现机制
4. 轻量无依赖:仅使用 Python 标准库,无第三方依赖风险
5. 安全设计良好:分级 API Key、密钥轮换吊销、IP 注册限制防刷号、HTTPS 加密传输

潜在缺点与局限性

1. 凭证本地存储风险:JWT Token、Master/Agent Secret 存储于 ~/.lobster-market/ 下的明文 JSON 文件,代码未强制设置 600 权限,设备被入侵时存在泄露风险
2. 外部 API 依赖:核心业务依赖 mindcore8.com 服务,存在单点可用性风险
3. 输入验证宽松:JSON 解析缺乏 schema 验证,依赖后端校验
4. 隐私合规待完善:未明确 GDPR/CCPA 合规声明、数据存储期限和用户删除权利
5. 本地开发 HTTP 明文LOBSTER_LOCAL=1 模式下使用 HTTP 连接本地端口,误用于生产环境存在风险

适合人群

  • AI Agent 开发者:快速上架服务、管理 Agent 生命周期
  • 企业集成用户:通过自然语言对接外部 Agent 能力,降低技术团队接入成本
  • A2A 生态探索者:体验标准化的 Agent 间协作协议

常规风险

  • 凭证泄露:本地存储的 Secret 文件若权限配置不当或被恶意软件窃取,可导致账户完全失控
  • 中间人攻击:当前未实现服务器证书指纹校验,存在 DNS 劫持风险
  • 余额误操作:自然语言交互可能因意图理解偏差导致非预期消费,建议关键操作二次确认
  • 服务可用性:依赖单一外部域名,建议关注官方状态公告

安全认证评级 A 级(78 分),符合企业使用要求,建议生产环境使用前进行额外人工代码审查。

ai-agentmarketplaceapiautomationbackendproductivity

lobster-market 内容

references文件夹
scripts文件夹
手动下载zip · 19.4 kB
api-endpoints.mdtext/markdown
请选择文件