openclaw secrets
Verwende openclaw secrets, um SecretRefs zu verwalten und den aktiven Laufzeit-Snapshot gesund zu halten.
Befehlsrollen:
reload: Gateway-RPC (secrets.reload), der Refs erneut auflöst und den Laufzeit-Snapshot nur bei vollständigem Erfolg austauscht (keine Konfigurationsschreibvorgänge).audit: Schreibgeschützter Scan von Konfigurations-/Auth-/generierten Modell-Stores und Legacy-Rückständen auf Klartext, unaufgelöste Refs und Prioritätsdrift.configure: Interaktiver Planer für Provider-Setup, Ziel-Mapping und Vorabprüfung (TTY erforderlich).apply: Einen gespeicherten Plan ausführen (--dry-runnur zur Validierung), dann gezielte Klartext-Rückstände bereinigen.
Empfohlener Betreiber-Ablauf:
openclaw secrets audit --check
openclaw secrets configure
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json
openclaw secrets audit --check
openclaw secrets reloadExit-Code-Hinweis für CI/Gates:
audit --checkgibt1bei Befunden zurück.- Unaufgelöste Refs geben
2zurück.
Verwandte Themen:
- Secrets-Anleitung: Secrets Management
- Credential-Oberfläche: SecretRef Credential Surface
- Sicherheitsanleitung: Security
Laufzeit-Snapshot neu laden
Secret-Refs erneut auflösen und den Laufzeit-Snapshot atomar austauschen.
openclaw secrets reload
openclaw secrets reload --jsonHinweise:
- Verwendet die Gateway-RPC-Methode
secrets.reload. - Wenn die Auflösung fehlschlägt, behält das Gateway den zuletzt bekannten guten Snapshot bei und gibt einen Fehler zurück (keine teilweise Aktivierung).
- Die JSON-Antwort enthält
warningCount.
Audit
OpenClaw-Zustand scannen auf:
- Klartext-Secret-Speicherung
- Unaufgelöste Refs
- Prioritätsdrift (
auth-profiles.json-Anmeldedaten, dieopenclaw.json-Refs überschatten) - Generierte
agents/*/agent/models.json-Rückstände (Provider-apiKey-Werte und sensible Provider-Header) - Legacy-Rückstände (Legacy-Auth-Store-Einträge, OAuth-Erinnerungen)
Hinweis zu Header-Rückständen:
- Die Erkennung sensibler Provider-Header basiert auf Namensheuristiken (gängige Auth-/Credential-Header-Namen und Fragmente wie
authorization,x-api-key,token,secret,passwordundcredential).
openclaw secrets audit
openclaw secrets audit --check
openclaw secrets audit --jsonExit-Verhalten:
--checkbeendet mit einem Nicht-Null-Code bei Befunden.- Unaufgelöste Refs beenden mit einem höher priorisierten Nicht-Null-Code.
Berichtsstruktur-Highlights:
status:clean | findings | unresolvedsummary:plaintextCount,unresolvedRefCount,shadowedRefCount,legacyResidueCount- Befundcodes:
PLAINTEXT_FOUNDREF_UNRESOLVEDREF_SHADOWEDLEGACY_RESIDUE
Configure (interaktiver Helfer)
Provider- und SecretRef-Änderungen interaktiv erstellen, Vorabprüfung durchführen und optional anwenden:
openclaw secrets configure
openclaw secrets configure --plan-out /tmp/openclaw-secrets-plan.json
openclaw secrets configure --apply --yes
openclaw secrets configure --providers-only
openclaw secrets configure --skip-provider-setup
openclaw secrets configure --agent ops
openclaw secrets configure --jsonAblauf:
- Zuerst Provider-Setup (
add/edit/removefürsecrets.providers-Aliase). - Dann Credential-Mapping (Felder auswählen und
{source, provider, id}-Refs zuweisen). - Zum Schluss Vorabprüfung und optionales Anwenden.
Flags:
--providers-only: Nursecrets.providerskonfigurieren, Credential-Mapping überspringen.--skip-provider-setup: Provider-Setup überspringen und Credentials vorhandenen Providern zuordnen.--agent <id>:auth-profiles.json-Ziel-Erkennung und Schreibvorgänge auf einen Agenten-Store beschränken.
Hinweise:
- Erfordert ein interaktives TTY.
--providers-onlyund--skip-provider-setupkönnen nicht kombiniert werden.configurezielt auf geheimnistragende Felder inopenclaw.jsonplusauth-profiles.jsonfür den ausgewählten Agentenbereich.configureunterstützt das Erstellen neuerauth-profiles.json-Zuordnungen direkt im Picker-Flow.- Kanonisch unterstützte Oberfläche: SecretRef Credential Surface.
- Es führt eine Vorabauflösung vor dem Anwenden durch.
- Generierte Pläne haben standardmäßig Bereinigungsoptionen (
scrubEnv,scrubAuthProfilesForProviderTargets,scrubLegacyAuthJsonalle aktiviert). - Der Anwendungspfad ist einbahnig für bereinigte Klartextwerte.
- Ohne
--applyfragt die CLI trotzdemApply this plan now?nach der Vorabprüfung. - Mit
--apply(und ohne--yes) fordert die CLI eine zusätzliche Bestätigung für die unwiderrufliche Aktion an.
Sicherheitshinweis zum Exec-Provider:
- Homebrew-Installationen stellen oft symlinkte Binärdateien unter
/opt/homebrew/bin/*bereit. - Setze
allowSymlinkCommand: truenur wenn nötig für vertrauenswürdige Paketmanager-Pfade, und kombiniere es mittrustedDirs(zum Beispiel["/opt/homebrew"]). - Unter Windows, wenn die ACL-Verifizierung für einen Provider-Pfad nicht verfügbar ist, schlägt OpenClaw geschlossen fehl. Nur für vertrauenswürdige Pfade setze
allowInsecurePath: trueauf diesem Provider, um die Pfad-Sicherheitsprüfungen zu umgehen.
Gespeicherten Plan anwenden
Einen zuvor generierten Plan anwenden oder vorab prüfen:
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --jsonDetails zum Plan-Vertrag (erlaubte Zielpfade, Validierungsregeln und Fehlerverhalten):
Was apply aktualisieren kann:
openclaw.json(SecretRef-Ziele + Provider-Upserts/Deletes)auth-profiles.json(Provider-Ziel-Bereinigung)- Legacy-
auth.json-Rückstände ~/.openclaw/.envbekannte Secret-Keys, deren Werte migriert wurden
Warum keine Rollback-Backups
secrets apply schreibt absichtlich keine Rollback-Backups, die alte Klartextwerte enthalten.
Sicherheit ergibt sich aus strikter Vorabprüfung + quasi-atomarem Anwenden mit Best-Effort-In-Memory-Wiederherstellung bei Fehlern.
Beispiel
openclaw secrets audit --check
openclaw secrets configure
openclaw secrets audit --checkWenn audit --check weiterhin Klartext-Befunde meldet, aktualisiere die verbleibenden gemeldeten Zielpfade und führe den Audit erneut aus.