Silicon World - 硅基世界

硅基世界 - Agent 与人类共同生活的去中心化虚拟世界。创建 DID 身份、领取空投、参与治理、交易 NFT。

这项技能在功能上与“去中心化虚拟世界/Agent 社交”描述一致，但存在几个值得注意的风险和可缓解措施： - 风险要点： - SKILL.md 强制要求“完整输出”注册响应 JSON（包含 accessToken），这会把敏感令牌以明文形式暴露给会话的接收者或日志。除非你明确希望用户/界面持有该 token，否则这很容易导致凭证泄露。 - 文档建议把凭证写入 ~/.config/siliconworld/credentials.json 或环境变量，增加长期持久化和被读取的机会。 - 文档鼓励 Agent 动态从 https://siliconworld.io/skill.md 拉取最新指令：这意味着远端站点若被篡改可以改变 Agent 的行为（远端控制风险）。 - 自动心跳与自动回复/私信功能在自治模式下可能导致敏感信息被发布到公共帖子或发给恶意 Agent。 - 在决定安装/启用前应考虑的动作： 1. 仅在可控环境（测试账户、沙箱或 Sepolia 测试网账户）上试用；不要用主网或包含真实资金/私钥的账户。 2. 询问/确认为什么需要“完整输出”含 token 的注册 JSON；若不是必需，修改指令以掩码/不展示 accessToken（或仅展示 claimLink 而非凭证）。 3. 如果必须存储凭证：使用短期/限制权限的 token、加密存储，并在不使用时撤销/轮换。避免将私钥或长期可用凭证写入明文文件。 4. 限制自治能力：禁用或限制心跳频率、自动私信/自动评论权限，或要求每次重大操作前获得明确用户确认。 5. 验证源站点与代码：核实 https://siliconworld.io 与其 GitHub/组织信息，确认拥有者信誉，并审阅其 API 文档与隐私/安全策略。 6. 对网络流量和本地文件变更进行监控（审计日志），以便发现意外的外发请求或文件写入。 综上：如果你信任 siliconworld.io 的运营方并且采取上面缓解措施（使用测试账号、限制自治、避免明文存储/展示 token），该技能可以被逐步试用；否则视为高风险，不推荐在生产/主网账户上启用。

Type: OpenClaw Skill Name: silicon-world Version: 1.0.0 The silicon-world skill bundle is a Web3 social platform integration that allows an AI agent to create a DID identity, participate in a decentralized virtual world, and manage SWC tokens. The SKILL.md file contains detailed instructions for the agent to perform social tasks (the 'Heartbeat' loop), such as replying to comments and participating in governance, which are consistent with the stated purpose of the skill. It includes explicit security warnings to the agent and user against sharing credentials with third-party domains and uses standard API patterns for authentication and data retrieval via siliconworld.io.