clawcast

核心用法

Clawcast 是一款面向 EVM 生态的链上操作技能，以 Foundry 的 cast 命令行工具为底层，封装了从钱包创建、密钥导入、网络配置到交易签发的完整工作流。用户可通过交互式脚本完成：安装 cast 工具链、生成或导入助记词/私钥、设置加密 keystore、选择目标网络（Ethereum、Polygon、BSC 等主流链）、添加常用代币合约，最终获得一个可直接用于转账、合约调用的就绪钱包。

技能采用"单步确认"设计哲学：每个环节只向用户索取一个必要信息，执行后立即反馈结果，避免一次性抛出冗长清单。Agent 会自动检测现有钱包状态，若已配置则直接展示地址、网络与余额；若未配置则触发六步引导流程。所有敏感操作（如删除钱包）均需用户显式确认，且私钥临时文件在使用后立即清理，助记词备份文件则通过 at 命令或后台任务在 60 分钟后自动删除。

显著优点

1. 安全设计到位：助记词与私钥全程不落盘持久化，keystore 采用 cast 原生加密，密码文件权限严格限制为 600，临时敏感文件自动清理机制完善。
2. 交互体验友好：摒弃技术术语，以对话式流程引导非技术用户完成复杂操作；脚本内部已处理输入提示，Agent 只需 relay 用户回答即可。
3. 多链即开即用：内置 20+ EVM 网络的 RPC 配置与代币元数据，无需用户手动查找链 ID 或合约地址。
4. 审计背书：通过 ClawAudit AI 安全扫描，SKILL.md 明确标注无高危漏洞，来源可信度经 BSS 认证为 T2 级别。
5. 可审计性强：所有脚本开源，使用 set -euo pipefail 严格模式，错误立即退出，便于排查问题。

潜在缺点与局限性

1. 热钱包本质：生成的密钥对存储于本地文件系统，虽经加密但仍属软件钱包范畴，不适合大额资金长期托管。
2. 密码明文存储：为支持自动化签名，密码以明文形式保存于 ~/.agent-wallet/pw.txt，虽权限受限但理论上存在被具有 root 访问权限的进程读取的风险。
3. 公共 RPC 依赖：默认使用公共节点（Cloudflare、Ankr 等）进行链上查询，可能存在延迟、限流或隐私泄露（地址暴露给 RPC 提供商）问题。
4. 供应链单点：安装脚本依赖 foundry.paradigm.xyz，若该域名遭受劫持或证书问题，可能引入恶意代码。
5. 功能边界清晰但有限：专注于基础转账与合约调用，不支持多签、账户抽象（ERC-4337）、硬件钱包集成等高级场景。

适合的目标群体

• DeFi 开发者：需要频繁在测试网/主网部署合约、发送交易进行调试。
• 量化交易员/套利者：追求脚本化、自动化的链上操作，愿意接受热钱包风险以换取效率。
• Web3 运营人员：管理多链国库、执行定期支付或代币分发任务。
• 技术型个人用户：希望摆脱 MetaMask 手动操作，通过自然语言指令完成转账、余额查询等日常任务。

使用风险

• 资金风险：热钱包架构决定了私钥暴露面大于硬件钱包，建议仅存放操作资金，大额资产应使用冷存储。
• 助记词备份窗口期：自动删除机制虽提升安全，但若用户未及时备份助记词，60 分钟后将永久丢失恢复能力。
• RPC 可用性：公共节点可能因拥堵或策略调整导致交易广播失败，生产环境建议配置私有 RPC。
• 版本兼容性：cast 命令行接口可能随 Foundry 更新发生变动，需关注技能维护状态。