skills/thannous/clawdeals

clawdeals

🏷️ 安全可控的交易 API 操作指南

下载技能Zip包

74
🥥74总安装量 15评分人数 22
100% 的用户推荐

OpenClaw 社区维护的纯文档型 Skill,提供 Clawdeals 平台完整 REST API 操作指南,支持安全认证与交易全流程自动化,零代码执行风险。

A

基本安全,请在特定环境下使用

  • 来自社区或个人来源,建议先隔离验证
  • ✅ 纯文档型架构,无脚本或可执行文件,从根本上杜绝本地代码执行风险(docs-only bundle)
  • ✅ 权限最小化原则,仅申请必要网络访问权限(`network:app.clawdeals.com`),明确声明 `no-exec` 禁止执行
  • ✅ 安全规范详尽,强制要求幂等性密钥(`Idempotency-Key`)、OS 密钥链存储凭证,禁止日志打印敏感信息
  • ⚠️ 来源可信度为 T3 级别(GitHub 社区/个人维护),无官方代码签名验证机制
  • ⚠️ 文档内含可执行的 curl 命令示例,需用户手动配置环境变量后运行,存在误操作或环境变量泄露风险
了解 BSS 安全性认证标准 >zip · 19.2 kB

使用说明

核心用法

Clawdeals Skill 是一份纯文档型(docs-only)的 REST API 操作指南,旨在帮助开发者与 Clawdeals 交易平台进行安全、标准化的集成。该 Skill 不包含任何可执行脚本或二进制文件,仅通过 Markdown 文档详细阐述了如何通过环境变量配置(CLAWDEALS_API_BASECLAWDEALS_API_KEY)调用平台接口,覆盖 deals(优惠发布)、watchlists(智能监控)、listings(商品上架)、offers(报价协商)、transactions(交易闭环)及 SSE 实时事件流的全生命周期管理。文档提供了 7 个完整的工作流示例(从发布优惠到联系信息Reveal),包含具体的 curl 命令、请求响应格式及错误处理方案,支持 OAuth Device Flow 和 Bearer Token 双认证模式,并强制要求写入操作携带 Idempotency-Key 以确保幂等性。

显著优点

安全架构领先:作为纯文档 bundle,该 Skill 从根本上杜绝了本地代码执行风险,明确声明 no-exec 权限,仅申请必要的网络访问权限(app.clawdeals.com 和本地开发环境),符合最小权限原则。文档内置了详尽的安全规范,包括强制使用 OS 密钥链存储凭证、禁止在日志/CI 输出中打印 Token、严格的供应链警告(提示用户检查 bundle 内容)以及人-in-the-loop 的敏感操作审批机制。

功能覆盖完整:不仅提供基础的 CRUD 端点说明,还深入涵盖了复杂的交易协商流程(offer-counter-accept)、智能监控列表的匹配逻辑、以及基于 Server-Sent Events 的实时事件推送,配合标准化的错误码体系和速率限制处理策略(Retry-AfterX-RateLimit-*),为生产环境集成提供了坚实保障。

开发者体验友好:通过具体的 copy-paste 工作流示例和详尽的故障排查指南(401/403/409/429 错误处理),大幅降低了 API 学习成本。同时支持 OpenClaw 生态的 clawdeals connect 命令行工具,提供 QR 码设备流认证和声明链接回退机制,简化了凭证管理流程。

潜在缺点与局限性

来源可信度限制:该 Skill 托管于 GitHub 社区仓库(openclaw/skills),属于 T3 级别(社区/个人维护),缺乏知名技术公司背书或官方代码签名,用户需自行验证文档内容的完整性和准确性。

平台强依赖性:所有功能均依赖 Clawdeals 平台的在线服务(app.clawdeals.com),在网络隔离环境或平台服务不可用时将完全失效。此外,文档中引用的 MCP(Model Context Protocol)工具需要单独安装,不属于本 bundle 的一部分。

手动配置门槛:虽然提供了 curl 示例,但实际使用仍需用户手动配置环境变量、处理 API 密钥(cd_live_... 格式),并理解 OAuth 流程。对于不熟悉命令行操作的用户,直接的代码复制粘贴可能存在误操作风险(如将密钥泄露到 shell 历史记录)。

网络策略限制:Skill 内置了严格的网络 allowlist,若用户尝试将 CLAWDEALS_API_BASE 指向非标准主机(非 production 或 localhost:3000),可能被 ClawHub 运行时阻止,需要 fork 并修改权限列表。

适合的目标群体

本 Skill 主要面向需要将 Clawdeals 交易平台集成到自有工作流的开发者构建交易自动化工具的工程师,以及希望深度定制优惠监控和报价策略的高级用户。特别适合使用 OpenClaw 生态、遵循 API-first 开发理念的团队,或需要通过脚本批量管理 listings 和 deals 的运营人员。对于注重供应链安全、希望避免安装不明可执行文件的技术决策者,纯文档特性使其成为低风险的选择。

使用风险

凭证泄露风险:尽管文档强调安全实践,但用户若未按指南使用 OS 密钥链,而是将 CLAWDEALS_API_KEY 硬编码在脚本或环境变量中,可能导致密钥泄露。建议定期轮换 API 密钥并监控 clawdeals.com 的 Connected Apps 授权状态。

依赖项与性能:作为纯文档 Skill,其本身无本地依赖,但实际 API 调用受限于 Clawdeals 平台的服务可用性和网络延迟。高频操作(如 watchlist 匹配查询)可能触发速率限制(429),需要实现指数退避重试逻辑。

平台政策变更:Clawdeals 平台的政策(POLICIES.md)可能随时调整,如 contact reveal 的审批规则、信任评分机制(TRUST_BLOCKED/TRUST_RESTRICTED)等,可能导致现有工作流中断或需要人工审批介入。

供应链/提示词注入:虽然 Skill 本身安全,但用户若盲目执行文档中的 curl 命令(尤其是来自非官方渠道的修改版本),可能遭遇提示词注入攻击(如被诱导执行恶意构造的 -d 参数)。建议始终从官方 GitHub 源获取文档,并审查所有命令参数。

apiautomationdocsbackendoperationsmarketplace

clawdeals 内容

手动下载zip · 19.2 kB
CHANGELOG.mdtext/markdown
请选择文件