总安装量 15
评分人数 16
核心用法
该技能采用"本地服务器 + Chrome 扩展"的双层架构,通过 WebSocket 连接浏览器与本地服务(默认端口 3847)。AI Agent 可通过 RESTful API 完全控制钱包生命周期,包括创建/切换账户(BIP44 派生路径)、查询余额、管理网络(主网/测试网/开发网)以及关键的交易签名功能。其创新性地实现了 Transaction 解析与显式审批机制,Agent 可通过 /pending 查看待签交易详情,经逻辑判断后调用 /approve 或 /reject 完成授权,同时支持 CLI 离线交易签名,满足复杂开发场景。
显著优点
安全性设计突出,种子短语采用 macOS Keychain 加密存储,而非明文文件,大幅降低密钥泄露风险。技术栈依托 Mysten Labs 官方 @mysten/sui SDK 及 @scure/bip39 等可信加密库,确保密码学操作规范。完整实现了 Sui Wallet Standard 协议(包括 sui:signTransaction 等接口),兼容所有标准 DApp。内置测试 DApp 和详细的安全检查清单,帮助用户验证合约可信度与交易合理性。
潜在缺点
平台限制明显,Keychain 依赖使其目前仅完整支持 macOS 系统。架构上存在安全权衡,CORS 配置为 * 允许任意来源,虽仅限于 localhost 监听,但仍增加了恶意网页的潜在攻击面。/mnemonic 端点缺乏二次认证,一旦本地机器被入侵,攻击者可直接获取助记词。此外,API 缺乏速率限制和严格的输入验证,面对暴力破解时防护不足,且错误信息可能暴露内部实现细节。
适合人群
主要面向 Sui 生态开发者,特别是需要自动化测试 DApp 前端、构建 AI 交易策略的工程师;适合个人用户在可信环境中管理中小额资产进行链上交互实验。不适合企业级生产环境、共享服务器/多用户场景,或管理大额资产的高安全性要求场景。
使用风险
常规风险包括:依赖项漏洞(需定期更新 SDK)、本地网络暴露(若错误配置绑定 0.0.0.0 而非 127.0.0.1)、社会工程攻击(恶意 DApp 诱导签名异常转账)。性能方面,WebSocket 连接稳定性可能影响交易时效,本地服务器宕机将导致无法签名。用户需严格保护本地机器访问权限,避免在公共网络环境暴露 3847 端口。
extension