klutch

Klutch Skill 是一款面向 Klutch 可编程信用卡的 OpenClaw 集成工具，通过 GraphQL API 提供命令行式的账户管理能力。用户可通过 klutch balance 查看卡片状态，使用 klutch transactions 获取交易记录并支持时间范围筛选，或利用 klutch card spending 分析各类别支出占比。该工具采用 session token 认证机制，首次配置后自动缓存凭证至 ~/.config/klutch/token.json，并支持 1Password CLI 集成实现无硬编码的安全凭证注入，避免敏感信息泄露风险。

该 Skill 的显著优势在于其严苛的安全规范与自动化潜力。代码通过 BSS A 级认证，无 eval()/exec() 等危险函数，依赖仅包含 requests 与 click 两个主流库且版本锁定；Token 文件默认设置 600 权限（仅所有者可读写），配置文件操作均使用 pathlib 确保路径安全。功能层面，它支持为 AI 子代理创建虚拟信用卡并设置硬限额（如 AWS、OpenAI 开销），实现自动预算告警与异常交易监控，将个人财务管理延伸至自动化代理场景。

局限性方面，该 Skill 来源为 T3 级个人开发者（kesslerio），非 Klutch 官方或企业级维护项目，存在长期维护与信任风险；功能强绑定 Klutch 平台，无法兼容其他信用卡体系；且需要 Python 3.10+ 环境，对旧系统支持有限。此外，尽管 Token 文件权限严格，但凭证仍存储于本地磁盘，在多用户共享环境或未经加密的主目录中仍存在潜在暴露风险。

该工具最适合 Klutch 信用卡持有者、需要自动化追踪支出的开发者，以及希望为 AI 代理设置预算护栏的技术用户。对于重视财务数据隐私、具备基础 CLI 操作能力，且已使用 1Password 等密码管理器的个人用户而言，这是理想的轻量级财务管理方案。

使用过程中需关注以下风险：首先，T3 来源意味着代码未经大型企业安全审计，建议审查后再用于生产环境；其次，虽然 Skill 本身无静默上传行为，但依赖的 Klutch API 为第三方服务，需信任其数据隐私政策；最后，自动模式（autonomous）默认关闭，若启用需严格设置预算上限，避免代理循环消费导致资金损失。建议定期清理 ~/.config/klutch/ 目录，并在共享设备上禁用 Token 缓存。