george

核心用法

George Banking Automation 是一款专为奥地利 Erste Bank 和 Sparkasse Austria 客户设计的银行自动化工具。该 Skill 通过 Playwright 浏览器自动化技术，模拟用户操作 George 在线银行平台，实现账户数据的程序化获取。

使用流程遵循严格的操作序列：首先调用 login 命令启动认证流程，用户需通过手机 App 完成 2FA 双因素认证；认证成功后，可使用 accounts 命令获取所有账户列表（包括支票账户、储蓄账户及证券账户），随后通过 transactions 命令按日期范围抓取交易明细，或使用 portfolio 获取投资组合数据；最后必须调用 logout 命令清理浏览器会话状态（包括 cookies、本地存储及 Playwright 配置文件），以最小化磁盘上的持久化认证状态。

所有数据以 JSON 格式本地输出，便于对接个人财务管理软件或会计系统进行自动化处理。会话状态默认存储在工作区 george/ 目录下，临时导出文件存放于 /tmp/openclaw/george（可通过环境变量覆盖）。

显著优点

安全性设计突出：尽管属于 T3 社区来源，代码实现了严格的权限硬化机制（目录权限 700、文件权限 600），敏感数据存储符合安全最佳实践。银行登录强制要求手机 App 2FA 确认，无法通过脚本自动绕过，有效防止未授权访问。

技术实现可靠：基于成熟的 Playwright 自动化框架，依赖 Chromium 浏览器引擎，避免了直接调用银行私有 API 可能带来的合规风险。代码中无 eval()、exec() 等危险函数，无动态代码加载行为，参数解析和错误处理机制完善。

本地化隐私保护：所有银行数据仅存储于本地磁盘，无静默上传或传输至远程服务器的行为，满足用户对金融隐私的严格要求。

潜在缺点与局限性

无法完全无人值守：由于 2FA 认证需要用户手动在手机上确认，该 Skill 无法实现完全无人值守的自动化流程，适合半自动化场景而非纯定时任务。

银行支持受限：目前仅支持 George 平台（Erste Bank Austria 和 Sparkasse Austria），不适用于其他银行或地区的金融机构。

外部依赖较重：依赖 Playwright 和 Chromium 浏览器，需要较大的磁盘空间和系统资源，且需保持依赖项更新以获得安全修复。

多用户环境风险：虽然文件权限设置严格，但在共享服务器或多用户环境中，root 用户或其他特权用户仍可能访问会话数据，不建议在公共或不可信环境中使用。

适合的目标群体

该 Skill 主要面向：1）奥地利 Erste Bank 或 Sparkasse Austria 的个人客户，希望将银行数据集成到本地财务管理系统；2）需要进行定期交易记录导出和会计处理的自由职业者或小型企业主；3）开发者或技术用户，希望构建个人银行数据看板或自动化财务分析工具。

使用风险

会话持久化风险：若未正确调用 logout 命令，会话令牌和浏览器状态将保留在磁盘上，存在被恶意软件或其他用户窃取的风险。建议在使用完毕后立即执行清理操作。

依赖项供应链风险：Playwright 和 Chromium 作为外部依赖，存在潜在的供应链攻击风险，需确保通过官方渠道安装并保持更新。

金融操作合规性：虽然该工具仅读取数据不执行转账操作，但用户仍需确保自动化行为符合银行服务条款，避免账户因异常登录行为被临时锁定。

核心用法

George Banking Automation Skill 通过 Playwright 浏览器自动化技术，实现对 Erste Bank / Sparkasse Austria 网上银行平台的完全自动化操作。主要功能包括：

• 登录与认证：支持标准用户名密码登录及 2FA 双因素认证流程，会话令牌本地安全缓存
• 账户管理：获取支票账户、储蓄账户、 depot 账户的完整列表及实时余额
• 交易查询：按日期范围导出指定账户的交易明细，支持 IBAN 或账户 ID 筛选
• 投资组合：获取证券持仓和股票投资组合数据
• 安全退出：强制清理浏览器会话、Cookie 和本地存储，最小化持久化风险

典型工作流：login → accounts → transactions → portfolio → logout

显著优点

1. 银行级安全实现：代码通过 _safe_filename_component 实现路径遍历防护，URL 敏感信息脱敏处理，文件权限严格控制在 0600/0700
2. 官方渠道通信：仅连接 Erste Bank 官方域名（george.sparkasse.at, api.sparkasse.at），TLS 1.2+ 加密传输
3. 依赖极简：仅依赖 Playwright 官方库，无第三方依赖，供应链攻击面极小
4. GDPR 合规：数据本地存储不上云，符合数据最小化原则，用户完全控制个人金融信息
5. 开发者可信：GitHub 个人开发者维护，MIT 开源许可，版本历史完整可追溯

潜在局限与风险

| 类别 | 说明 |

|------|------|

| 地域限制 | 仅支持奥地利 Erste Bank / Sparkasse 体系，其他银行无法使用 |

| 技术门槛 | 需预先安装 Python 3、Playwright 及 Chromium 浏览器，配置环境变量 |

| 2FA 依赖 | 首次登录需人工完成双因素认证，无法完全无人值守 |

| 会话缓存风险 | 虽然文件权限严格，物理设备访问仍可能导致会话劫持 |

| 临时文件默认路径 | 默认使用 `/tmp/openclaw/george`，多用户环境存在理论泄露风险（可通过 `OPENCLAW_TMP` 覆盖）|

适合人群

• 奥地利 Erste Bank / Sparkasse 的个人或企业客户
• 需要将银行数据自动同步至个人财务系统（如 GnuCash、Beancount）的技术用户
• 追求数据主权、拒绝使用云端银行聚合服务的隐私敏感用户
• 具备基础 Python 和命令行操作能力的开发者或高级用户

常规风险与缓解

• 调试数据残留：--debug 模式会保存完整 API 响应，使用后需手动清理 debug/ 目录
• 环境变量暴露：GEORGE_USER_ID 需妥善保管，避免在共享 shell 历史中泄露
• Playwright 安全：保持依赖更新以获取最新浏览器安全补丁