安全
Toobit Agent Trade Kit 提供多层安全防护,确保您的资产和凭证安全。
安全机制
| 安全层 | 说明 |
|---|---|
| 本地运行 | 所有程序在本地运行,密钥仅存本地配置文件(~/.toobit/config.toml),签名在本地完成,AI 无法获取凭证。 |
只读模式 --read-only | 仅允许数据查询,所有写入工具被禁用,AI 无法执行任何交易操作。 |
模块过滤 --modules | 精确控制暴露给 AI 的功能模块。例如 --modules market 仅暴露行情数据。 |
| 智能注册 | 服务器启动时检测 API Key 权限。如果 Key 不具备交易权限,下单工具不会注册。 |
| 风险标签 | 所有涉及资金操作的工具均标记为 [CAUTION],提示 AI 在执行前确认。 |
| 本地限流 | 内置令牌桶限流算法,防止对 Toobit API 造成过载。 |
| 审计日志 | 所有工具调用自动记录到 ~/.toobit/logs/,敏感数据(签名等)自动脱敏。 |
最佳实践
凭证安全
DANGER
切勿将您的 API Key 或 Secret Key 透露给任何 AI 模型或粘贴到对话框中。所有凭证应仅保存在本地配置文件(~/.toobit/config.toml)中。
- 使用 子账户的 API Key 并仅开启所需的最小权限
- 设置 IP 白名单 限制 API Key 的使用范围
- 定期检查和轮换 API Key
风控建议
- 首次使用时建议开启
--read-only模式熟悉功能 - 使用
--modules market仅暴露行情查询,不涉及交易 - 交易前通过
spot_place_order_test进行模拟测试 - 定期查看
~/.toobit/logs/中的审计日志 - AI 可能出错,执行交易前请自行核对所有订单信息
WARNING
用户需自行承担交易操作带来的风险与损失。