skills/tezatezaz/clawcast

clawcast

🔐 安全托管的 EVM 链上操作中枢

基于 Foundry/cast 的 EVM 钱包管理工具,支持密钥安全托管、多链交易与自动化助记词清理,适合需要链上操作自动化的开发者与 DeFi 用户。

收藏
8.7k
安装
2.2k
版本
v1.0.2
CLS 安全性认证2026-05-18
点击查看完整报告 >

使用说明

核心用法

Clawcast 是一款面向 EVM 生态的链上操作技能,以 Foundry 的 cast 命令行工具为底层,封装了从钱包创建、密钥导入、网络配置到交易签发的完整工作流。用户可通过交互式脚本完成:安装 cast 工具链、生成或导入助记词/私钥、设置加密 keystore、选择目标网络(Ethereum、Polygon、BSC 等主流链)、添加常用代币合约,最终获得一个可直接用于转账、合约调用的就绪钱包。

技能采用"单步确认"设计哲学:每个环节只向用户索取一个必要信息,执行后立即反馈结果,避免一次性抛出冗长清单。Agent 会自动检测现有钱包状态,若已配置则直接展示地址、网络与余额;若未配置则触发六步引导流程。所有敏感操作(如删除钱包)均需用户显式确认,且私钥临时文件在使用后立即清理,助记词备份文件则通过 at 命令或后台任务在 60 分钟后自动删除。

显著优点

1. 安全设计到位:助记词与私钥全程不落盘持久化,keystore 采用 cast 原生加密,密码文件权限严格限制为 600,临时敏感文件自动清理机制完善。
2. 交互体验友好:摒弃技术术语,以对话式流程引导非技术用户完成复杂操作;脚本内部已处理输入提示,Agent 只需 relay 用户回答即可。
3. 多链即开即用:内置 20+ EVM 网络的 RPC 配置与代币元数据,无需用户手动查找链 ID 或合约地址。
4. 审计背书:通过 ClawAudit AI 安全扫描,SKILL.md 明确标注无高危漏洞,来源可信度经 BSS 认证为 T2 级别。
5. 可审计性强:所有脚本开源,使用 set -euo pipefail 严格模式,错误立即退出,便于排查问题。

潜在缺点与局限性

1. 热钱包本质:生成的密钥对存储于本地文件系统,虽经加密但仍属软件钱包范畴,不适合大额资金长期托管。
2. 密码明文存储:为支持自动化签名,密码以明文形式保存于 ~/.agent-wallet/pw.txt,虽权限受限但理论上存在被具有 root 访问权限的进程读取的风险。
3. 公共 RPC 依赖:默认使用公共节点(Cloudflare、Ankr 等)进行链上查询,可能存在延迟、限流或隐私泄露(地址暴露给 RPC 提供商)问题。
4. 供应链单点:安装脚本依赖 foundry.paradigm.xyz,若该域名遭受劫持或证书问题,可能引入恶意代码。
5. 功能边界清晰但有限:专注于基础转账与合约调用,不支持多签、账户抽象(ERC-4337)、硬件钱包集成等高级场景。

适合的目标群体

  • DeFi 开发者:需要频繁在测试网/主网部署合约、发送交易进行调试。
  • 量化交易员/套利者:追求脚本化、自动化的链上操作,愿意接受热钱包风险以换取效率。
  • Web3 运营人员:管理多链国库、执行定期支付或代币分发任务。
  • 技术型个人用户:希望摆脱 MetaMask 手动操作,通过自然语言指令完成转账、余额查询等日常任务。

使用风险

  • 资金风险:热钱包架构决定了私钥暴露面大于硬件钱包,建议仅存放操作资金,大额资产应使用冷存储。
  • 助记词备份窗口期:自动删除机制虽提升安全,但若用户未及时备份助记词,60 分钟后将永久丢失恢复能力。
  • RPC 可用性:公共节点可能因拥堵或策略调整导致交易广播失败,生产环境建议配置私有 RPC。
  • 版本兼容性:cast 命令行接口可能随 Foundry 更新发生变动,需关注技能维护状态。

安全解读

核心用法

Clawcast是一个专注于EVM链操作的Agent Skill,基于Foundry生态的cast命令行工具构建。它提供了完整的钱包生命周期管理:从Foundry安装、密钥生成/导入、加密存储到链上交互。用户可通过自然语言指令完成余额查询、代币转账、合约调用等操作,无需记忆复杂的CLI参数。

显著优点

1. 完整的钱包工作流:涵盖冷启动→密钥创建→加密存储→网络配置→交易执行的全链路,降低Web3入门门槛
2. 安全意识设计:助记词临时文件自动1小时后删除、敏感文件600权限保护、明确的用户确认机制
3. 可信依赖链:核心依赖Foundry官方工具(Paradigm出品),RPC端点覆盖主流L1/L2官方节点
4. 交互式引导:采用单步提问模式,避免信息过载,符合金融操作的心理安全需求
5. 审计透明:附带ClawAudit安全认证(Grade A),安全评分72,无高危漏洞

潜在局限

  • L1级动态代码执行:安装阶段从远程拉取并执行Foundry脚本,虽来源可信但存在供应链攻击理论风险
  • 密码明文存储:为兼容cast非交互模式,密码文件以明文形式落盘(权限600受限)
  • 助记词短暂暴露期:生成新钱包时助记词会在内存和临时文件中存在约1小时
  • 无硬件钱包支持:当前仅支持软件密钥,Ledger/Trezor等需额外配置
  • RPC单点依赖:自动选择各网络首个RPC端点,无故障转移机制

适合人群

  • DeFi活跃用户:需要高频执行链上操作但不愿暴露私钥到浏览器钱包
  • 智能合约开发者:已熟悉Foundry工具链,希望在Agent环境中延续使用习惯
  • 安全意识较强的个人用户:愿意接受"安全-便利"权衡,重视本地密钥控制
  • 不适合:机构级托管需求、多签场景、或追求最高硬件隔离的极安全用户

常规风险

  • 助记词/私钥在内存中的短暂窗口期
  • 明文密码文件若遇权限配置失误或系统级入侵存在泄露可能
  • 动态安装脚本的供应链完整性依赖Paradigm官方基础设施
  • RPC端点可能记录请求元数据(地址、交易模式)形成链上行为画像
blockchainfinance-accountingautomationbackenddevelopment-engineering

clawcast 内容

assets文件夹
scripts文件夹
手动下载zip · 20.9 kB
evm-network-tokens.jsonapplication/json
请选择文件