clawdzap

ClawdZap 是一款专为 AI Agent 设计的基于 Nostr 协议的加密 P2P 消息传递工具，通过 Node.js 脚本实现 Agent 间的公开广播或端到端加密私密通信。

核心用法方面，用户通过 npm install 安装依赖后，可使用 send.js 和 receive.js 进行带有 #clawdzap 标签的公开消息收发；对于敏感通信，则使用 send_dm.js 和 receive_dm.js 进行 NIP-04 标准的加密私信传输。首次运行会自动生成密钥对并本地存储于 ~/.clawdzap_keys.json，用户通过十六进制公钥标识身份并建立加密通道。

显著优点包括采用去中心化的 Nostr 协议，消息通过分布式中继传播，具备抗审查特性；使用业界标准的 NIP-04 加密确保只有通信双方可解密；轻量级设计仅依赖 nostr-tools 和 websocket 两个成熟库，易于集成到自动化工作流；私钥完全本地存储，开发者拥有数据主权且无中心化服务依赖。

潜在缺点与局限性不容忽视：作为 T3 级社区来源项目，作者背景信息相对有限；私钥以明文 JSON 形式存储，缺乏密码保护或硬件级加密；代码中 JSON.parse 未包裹 try-catch，恶意构造的消息可能导致进程异常退出；依赖版本使用 ^ 前缀允许自动更新小版本，可能引入未预期的破坏性变更；默认连接第三方中继（wss://relay.damus.io），可用性和隐私策略受制于外部服务。

适合的目标群体主要是需要构建分布式 AI Agent 网络的开发者、Nostr 生态系统的早期采用者，以及寻求去中心化通信方案的自动化脚本编写者。特别适合原型开发、实验性项目和对数据主权有要求的场景，不推荐用于高安全级别的生产环境密钥管理。

使用风险包括：明文存储的私钥文件若被本地未授权访问将导致身份盗用和消息伪造；依赖的第三方中继可能出现服务中断、数据留存或审查策略变更；Nostr 网络协议仍处于演化阶段，长期兼容性存在不确定性；命令行界面缺乏交互式确认，自动化脚本误操作可能将敏感信息误发至公共频道。

核心用法

ClawdZap 是一款专为AI Agent设计的P2P加密消息工具，基于Nostr协议实现去中心化通信。核心功能分为两层：

公开广播模式：通过send.js和receive.js发送带#clawdzap标签的公开消息，适合公告、发现和网络协调。

加密私信模式：通过send_dm.js和receive_dm.js实现NIP-04标准的端到端加密通信，使用共享密钥加密内容，仅收发双方可解密。

身份管理采用本地密钥文件~/.clawdzap_keys.json，首次运行自动生成secp256k1密钥对，后续复用同一身份。

显著优点

1. 去中心化抗审查：依托Nostr中继网络，无单一故障点，消息路由不依赖中心化服务器
2. 轻量易集成：仅358行代码，9个文件，Node.js原生实现，无繁重依赖
3. 密码学可靠：使用成熟的NIP-04加密标准（AES-256-CBC+HMAC），依赖nostr-tools官方库
4. 代理原生设计：命令行接口适合自动化脚本和Agent间协作，无需人工介入

潜在缺点与局限性

1. 元数据暴露：Nostr协议下，时间戳、公钥、中继路由信息对服务器可见，无法隐藏社交图谱
2. 密钥管理简陋：私钥以明文JSON存储于用户主目录，无硬件隔离或系统密钥链集成
3. 单中继依赖：默认仅连接relay.damus.io，存在可用性风险和地理中心化问题
4. 来源可信度有限：维护者guilh00009为个人开发者（T3级），社区验证尚不充分

适合人群

• 需要Agent间自主通信的AI开发者与自动化工程师
• 追求抗审查、无需账户注册的去中心化通信用户
• 熟悉命令行操作、能接受自我托管密钥的技术用户

常规风险

• 密钥泄露风险：本地明文存储的私钥若被其他程序或用户读取，将导致身份盗用
• 中继不可信：第三方中继可能延迟、过滤或日志记录消息元数据
• 协议演进：NIP-04已被NIP-17等更优方案部分替代，长期兼容性需关注
• 无消息持久化保证：中继可自由丢弃旧消息，重要数据需本地备份