核心用法
Signet Guardian 采用预检-决策-记录的三阶段工作流,为 AI 代理的支付行为建立策略防火墙。在任何支付技能执行前,必须调用 signet-preflight 提交金额、货币、收款方和用途,系统根据用户策略返回 ALLOW(允许)、CONFIRM_REQUIRED(需用户确认)或 DENY(拒绝)。只有在获得明确许可后,支付技能方可执行真实交易。支付完成后,必须调用 signet-record 将交易记录至本地审计日志,该步骤在文件锁保护下重新校验月度限额,确保并发场景下的额度安全。
用户通过 signet-policy 配置支付策略,包括总开关、单笔限额、月度上限、确认阈值及商户黑白名单。所有交易记录以 JSONL 格式存储于本地 ledger.jsonl,支持通过 signet-report 生成消费报告。系统采用默认拒绝原则:若策略文件缺失或损坏,所有支付请求将被拒绝。
显著优点
首先,集中式策略管理让多个支付技能共享统一的权限控制,避免各自实现安全逻辑的不一致性。其次,默认拒绝(Default Deny)的安全模型确保在无配置或异常情况下资金不会误流出。第三,完善的审计追踪机制记录每笔交易的状态(完成/拒绝)、时间戳、调用方技能和幂等性密钥,满足合规需求。第四,并发安全设计通过文件锁(.ledger.lock)保护月度限额检查,结合幂等性密钥防止重复计数,在多代理并行场景下依然可靠。最后,纯本地运行模式确保支付敏感数据不出境,无网络传输风险。
潜在缺点与局限性
该技能采用 advisory(建议性)预检模式,而非运行时强制拦截,这意味着支付技能必须主动遵守"先预检后支付"的契约,恶意或缺陷技能理论上可绕过检查。此外,不支持货币转换(FX),请求货币必须与策略货币完全匹配,多货币场景需外部转换。月度限额在 signet-record 阶段才最终强制执行,若支付成功后记录失败(如已达上限),会出现"已支付但未记账"的不一致状态,需人工介入处理。
适合的目标群体
本技能适用于为 AI 代理配置自动化支付安全护栏的个人用户和小型团队,特别是使用 OpenClaw 或其他支持该中间件的代理框架的场景。适合需要限制 AI 消费额度(如每月 £500)、防止意外大额支出(如单笔超过 £20 需确认)的用例。对于需要完整支付审计日志、满足内部合规要求的自动化财务流程也极具价值。
使用风险
配置风险:若 paymentsEnabled 误设为 false 或策略文件损坏,将导致所有合法支付被拒绝,影响业务连续性。并发竞态:虽然文件锁保护记录阶段,但预检(preflight)与记录(record)之间存在时间窗口,高频并发可能导致多个预检同时通过但后续记录超限。环境依赖:策略文件路径依赖 OPENCLAW_BASE_DIR 等环境变量,配置错误可能导致策略失效或日志丢失。编辑器调用:signet-policy --edit 通过 spawnSync 调用 $EDITOR 环境变量指定的编辑器,若环境变量被恶意篡改可能执行非预期程序。