monzo

🏦 智能安全的英国数字银行助手

OpenClaw 官方 Monzo 银行接入技能,支持余额查询、交易追踪与储蓄罐管理,采用 AES-256 加密保障凭证安全,适合个人财务自动化管理。

收藏
1.8k
安装
621
版本
v1.0.2
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

该 Skill 通过 OAuth 2.0 协议安全接入 Monzo 开放银行 API,提供完整的个人账户管理能力。用户可通过 8 个独立 Bash 脚本执行操作:setup 完成身份认证,balance 查询实时余额,transactions 检索交易历史(支持时间筛选与关键词搜索),pots 管理储蓄罐存取款,feed 发送自定义通知到 Monzo App,receipt 附加电子收据,webhooks 配置事件回调,whoami 验证认证状态。所有脚本支持 JSON 输出模式,便于与自动化工具集成,同时提供非交互式设置选项,适合 CI/CD 环境部署。

显著优点

安全性设计突出:采用 AES-256-CBC 加密算法配合 PBKDF2 密钥派生(10 万次迭代)保护 OAuth 凭证,存储文件强制 600 权限确保仅所有者可访问。输入验证机制完善,使用正则表达式严格验证账户 ID(acc_)、储蓄罐 ID(pot_)、交易 ID(tx_*)和金额格式,防止注入攻击。错误处理优雅,包含敏感信息自动脱敏函数,避免日志泄露隐私。文档体系完备,不仅提供详细配置指南,还包含专门的 Agent 使用说明章节,明确 Money 单位转换规则(英镑转便士)和常见查询模式,大幅降低使用门槛。

潜在局限

地域限制明显,仅支持英国 Monzo 银行用户,无法兼容其他金融机构。配置门槛较高,需手动在 Monzo Developer 门户创建 OAuth 客户端并设置 Confidential 模式,且必须通过手机 App 完成强客户认证(SCA)。多用户系统存在安全隐患,SECURITY.md 明确警告 root 用户可访问加密凭证文件。功能依赖系统标准工具(curl、jq、openssl、bc),在精简容器环境中可能需要额外安装依赖。

目标用户

适合英国地区的个人财务自动化用户、开发者构建财务仪表盘,以及希望将银行数据集成到个人工作流的技术爱好者。特别适用于需要定期查询余额、追踪特定类别支出(如咖啡消费统计)、自动化储蓄管理(定期向储蓄罐存款)或接收账户变动通知的场景。对于熟悉命令行操作且重视数据隐私的用户尤为合适。

风险提示

主要风险集中在凭证管理和环境配置:MONZO_KEYRING_PASSWORD 环境变量若泄露将导致凭证文件可被解密,建议使用密码管理器或 systemd 安全加载。多用户服务器上 root 权限可绕过文件权限保护读取凭证,不建议在共享云服务器部署。Webhook 配置若指向不可信 URL 可能导致交易信息泄露,应严格验证接收端身份。金融操作(pots 存取款)虽使用幂等 ID 防重放,但仍需确保脚本调用环境可信,避免误操作导致资金损失。

安全解读

核心用法

Monzo Skill 是面向英国数字银行 Monzo 用户的个人财务管理工具,通过官方 OAuth 2.0 API 实现账户数据的自动化访问。核心功能覆盖四大模块:

账户洞察balance 查询实时余额与今日支出;transactions 支持按日期范围、关键词搜索、数量限制等多维度筛选交易记录,金额以便士(pence)为单位处理。

储蓄管理pots 管理 Monzo 标志性的储蓄罐功能,可查看余额/目标、执行存入/提取操作,适合预算分配与目标储蓄场景。

主动通知feed 向用户手机 App 推送自定义通知,可用于账单提醒、自动化工作流状态播报等。

高级功能receipt 为交易附加电子收据,webhooks 支持实时交易事件订阅,便于构建个人财务自动化系统。

显著优点

  • 安全架构扎实:AES-256-CBC + PBKDF2(10万次迭代)加密存储凭证,HTTPS 全链路通信,敏感数据自动脱敏(acc_REDACTED),文件权限 600 限制
  • 认证流程规范:标准 OAuth 2.0 Confidential 客户端模式,支持 Refresh Token 自动轮换,SCA 强认证符合英国金融监管要求
  • 运维友好:纯 Bash 实现零依赖(仅系统级 curl/jq/openssl),Token 过期前 10 分钟自动刷新,无需人工干预
  • 功能完整度高:覆盖 Monzo API 主要能力(余额/交易/储蓄罐/通知/收据/Webhook),输出格式可选人类可读或 JSON

局限性与风险

  • 地域限制:仅支持英国 Monzo 账户(个人/联名/商业),国际用户无法使用
  • 手动授权门槛:首次配置需用户在手机 App 内完成 SCA 批准,无法纯无人值守初始化
  • 金额单位易错:API 以便士为单位(£1 = 100),脚本虽封装但仍需用户注意整数输入
  • OAuth 客户端管理:用户需自行在 Monzo Developer 平台创建/维护客户端,Secret 泄露风险由用户承担

适合人群

  • 英国 Monzo 活跃用户,希望通过 AI Agent 实现"语音查余额""自动化记账"等场景
  • 个人开发者搭建家庭财务自动化系统(如交易触发 webhook → 同步到记账软件)
  • 隐私敏感型用户偏好本地化凭证存储(对比 Plaid 等第三方聚合服务)

常规风险

  • 密钥管理责任MONZO_KEYRING_PASSWORD 丢失将导致凭证无法解密,需备份
  • SCA 过期:若长期未使用导致授权失效,需重新走 App 内批准流程
  • API 限流:高频调用可能触发 Monzo 速率限制,建议合理设置缓存策略
  • 移动性限制:更换设备或重装 OpenClaw 时需重新配置环境变量与凭证路径

安全认证

经 CLS-Certify v2.1.0 六维检测,获 S 级(优秀)/ T2 级可信来源 认证,静态分析 95 分,隐私合规 95 分,零安全发现。

monzo 内容

scripts文件夹
lib文件夹
手动下载zip · 29.3 kB
monzo.shtext/x-shellscript
请选择文件