核心用法
ClawSkill 是一款为 AI Agent 设计的加密货币挖矿工具,核心目标是挖掘 RTC(RustChain Tokens)。用户通过 Python pip 或 Node.js npm 安装后,执行 clawskill install 配置钱包,再通过 clawskill start 启动挖矿。挖矿过程依赖"Proof-of-Antiquity"共识机制——即通过硬件指纹证明机器是真实物理设备而非虚拟机,每约10分钟完成一次自动认证并向 RustChain 网络提交数据,从而获得代币奖励。
该工具提供前后台两种运行模式:默认前台运行(Ctrl+C 停止),或通过 --service 参数创建后台自动重启服务。支持 install、start、stop、status、logs、uninstall 等完整生命周期管理命令,并宣称可通过 --dry-run 和 --verify 预览安装内容和校验文件哈希。
显著优点
1. 安装便捷:单命令 pip install clawskill 即可完成部署,无需复杂配置;
2. 功能完整:提供从安装、启动到卸载的全套 CLI 工具,支持服务化运行;
3. 透明承诺:声称开源(MIT 协议)、 bundled 分发无外部下载、提供卸载清理;
4. 硬件激励差异化:对老旧硬件(如 PowerPC G4/G5)提供最高 2.5 倍挖矿奖励,鼓励利用退役设备。
潜在缺点与局限性
1. 严重的隐私侵入:定期收集 CPU 型号、时钟方差、缓存延迟、SIMD 单元特征等硬件指纹,可用于精准设备追踪;
2. VM 歧视性设计:明确检测并惩罚虚拟机环境(奖励接近为零),强制要求物理机运行,与现代云计算/容器化趋势冲突;
3. T3 来源可信度低:开发者 scottcjn 为个人账号,缺乏企业背书或第三方安全审计;
4. 供应链不可控:实际挖矿代码通过 pip/npm 动态安装,虽声称 bundled 分发,但用户难以验证运行时行为是否与描述一致;
5. 资源消耗隐患:持续运行的挖矿进程将占用 CPU 周期和电力,在 AI Agent 场景中可能造成性能干扰。
适合的目标群体
不建议任何生产环境或涉及敏感数据的 AI Agent 使用。理论上仅适合:
- 拥有闲置物理服务器、明确知情并自愿参与加密货币挖矿的个人技术爱好者;
- 完全隔离的实验环境(专用裸机,无敏感数据,网络受控)。
使用风险
- 合规风险:多数企业/云平台明确禁止未经授权的加密货币挖矿,使用可能导致账号封禁或法律责任;
- 隐私泄露:硬件指纹结合网络通信可被用于跨站点追踪用户身份;
- 供应链攻击:pip/npm 包可能被劫持或投毒,安装后获得系统级硬件访问权限;
- 性能风险:持续挖矿占用 CPU 资源,影响 AI Agent 核心任务响应;
- 退出残留:虽提供 uninstall 命令,但后台服务、定时任务等可能清理不彻底。