CLI commands
Geheimen
openclaw secrets
Beheer SecretRefs en houd de actieve runtime-snapshot gezond.
| Opdracht | Rol |
|---|---|
reload |
Gateway-RPC (secrets.reload): lost verwijzingen opnieuw op en vervangt de runtime-snapshot alleen bij volledig succes (zonder configuratie te schrijven) |
audit |
Alleen-lezen-scan van configuratie-, authenticatie- en gegenereerde modelopslag en verouderde restanten op platte tekst, niet-opgeloste verwijzingen en afwijkingen in prioriteit (exec-verwijzingen worden overgeslagen tenzij --allow-exec) |
configure |
Interactieve planner voor providerconfiguratie, doeltoewijzing en preflight (vereist een TTY) |
apply |
Voert een opgeslagen plan uit (--dry-run valideert alleen en slaat exec-controles standaard over; de schrijfmodus weigert plannen met exec tenzij --allow-exec is opgegeven) en verwijdert daarna gerichte restanten in platte tekst |
Aanbevolen routine voor beheerders:
openclaw secrets audit --checkopenclaw secrets configureopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-runopenclaw secrets apply --from /tmp/openclaw-secrets-plan.jsonopenclaw secrets audit --checkopenclaw secrets reloadAls uw plan exec-SecretRefs/providers bevat, geeft u --allow-exec door aan zowel de dry-run- als de schrijfopdracht voor apply.
Afsluitcodes voor CI/controles:
audit --checkretourneert1bij bevindingen.- Niet-opgeloste verwijzingen retourneren
2(ongeacht--check).
Gerelateerd: Geheimenbeheer · Oppervlak voor SecretRef-referenties · Beveiliging
Runtime-snapshot herladen
openclaw secrets reloadopenclaw secrets reload --jsonopenclaw secrets reload --url ws://127.0.0.1:18789 --token <token>Gebruikt de Gateway-RPC-methode secrets.reload. Als het oplossen mislukt, behoudt de Gateway de laatst bekende werkende snapshot en retourneert deze een fout (geen gedeeltelijke activering). Het JSON-antwoord bevat warningCount.
Opties: --url <url>, --token <token>, --timeout <ms>, --json.
Audit
Scant de OpenClaw-status op:
- opslag van geheimen in platte tekst
- niet-opgeloste verwijzingen
- afwijkingen in prioriteit (
auth-profiles.json-referenties die verwijzingen inopenclaw.jsonoverschrijven) - restanten in gegenereerde
agents/*/agent/models.json-bestanden (apiKey-waarden van providers en gevoelige providerheaders) - verouderde restanten (verouderde vermeldingen in de authenticatieopslag, OAuth-herinneringen)
Detectie van gevoelige providerheaders is gebaseerd op naamheuristiek: headers worden gemarkeerd wanneer hun naam overeenkomt met veelvoorkomende fragmenten voor authenticatie/referenties (authorization, x-api-key, token, secret, password, credential).
openclaw secrets auditopenclaw secrets audit --checkopenclaw secrets audit --jsonopenclaw secrets audit --allow-execRapportstructuur:
status:clean | findings | unresolvedresolution:refsChecked,skippedExecRefs,resolvabilityCompletesummary:plaintextCount,unresolvedRefCount,shadowedRefCount,legacyResidueCount- bevindingscodes:
PLAINTEXT_FOUND,REF_UNRESOLVED,REF_SHADOWED,LEGACY_RESIDUE
Configureren (interactieve hulp)
Stel provider- en SecretRef-wijzigingen interactief samen, voer de preflight uit en pas ze desgewenst toe:
openclaw secrets configureopenclaw secrets configure --plan-out /tmp/openclaw-secrets-plan.jsonopenclaw secrets configure --apply --yesopenclaw secrets configure --providers-onlyopenclaw secrets configure --skip-provider-setupopenclaw secrets configure --agent opsopenclaw secrets configure --jsonProces: eerst providerconfiguratie (aliassen voor secrets.providers toevoegen/bewerken/verwijderen), vervolgens referentietoewijzing (velden selecteren, {source, provider, id}-verwijzingen toewijzen), daarna de preflight en optionele toepassing.
Vlaggen:
--providers-only: configureer alleensecrets.providersen sla referentietoewijzing over--skip-provider-setup: sla providerconfiguratie over en wijs referenties toe aan bestaande providers--agent <id>: beperk de detectie van doelen en schrijfbewerkingen voorauth-profiles.jsontot de opslag van één agent--allow-exec: sta controles van exec-SecretRefs toe tijdens preflight/toepassing (kan provideropdrachten uitvoeren)
--providers-only en --skip-provider-setup kunnen niet worden gecombineerd.
Opmerkingen:
- Vereist een interactieve TTY.
- Richt zich op velden met geheimen in
openclaw.jsonplusauth-profiles.jsonvoor het geselecteerde agentbereik; canoniek ondersteund oppervlak: Oppervlak voor SecretRef-referenties. - Ondersteunt het rechtstreeks maken van nieuwe
auth-profiles.json-toewijzingen in de selectiestroom. - Voert vóór het toepassen een preflight-oplossing uit.
- Gegenereerde plannen hebben standaard ingeschakelde opschoningsopties (
scrubEnv,scrubAuthProfilesForProviderTargets,scrubLegacyAuthJson). De toepassing kan niet ongedaan worden gemaakt voor opgeschoonde waarden in platte tekst. - Zonder
--applyvraagt de CLI na de preflight nog steedsApply this plan now?. - Met
--apply(en zonder--yes) vraagt de CLI om een extra bevestiging voor de onomkeerbare migratie. --jsondrukt het plan en preflightrapport af, maar vereist nog steeds een interactieve TTY.
Veiligheid van exec-providers
Homebrew-installaties stellen vaak via symbolische koppelingen beschikbare uitvoerbare bestanden onder /opt/homebrew/bin/* bloot. Stel allowSymlinkCommand: true alleen in wanneer dit nodig is voor vertrouwde paden van pakketbeheerders, gecombineerd met trustedDirs (bijvoorbeeld ["/opt/homebrew"]). Als op Windows ACL-verificatie niet beschikbaar is voor een providerpad, weigert OpenClaw uit veiligheidsoverwegingen; stel uitsluitend voor vertrouwde paden allowInsecurePath: true in voor die provider om de padbeveiligingscontrole te omzeilen.
Een opgeslagen plan toepassen
openclaw secrets apply --from /tmp/openclaw-secrets-plan.jsonopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --allow-execopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-runopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run --allow-execopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --json--dry-run valideert de preflight zonder bestanden te schrijven; controles van exec-SecretRefs worden tijdens een dry-run standaard overgeslagen. De schrijfmodus weigert plannen met exec-SecretRefs/providers tenzij --allow-exec is opgegeven. Gebruik --allow-exec om in een van beide modi expliciet in te stemmen met controles/uitvoering van exec-providers.
Wat apply kan bijwerken:
openclaw.json(SecretRef-doelen + providers invoegen/bijwerken/verwijderen)auth-profiles.json(opschoning van providerdoelen)- verouderde restanten in
auth.json - bekende geheime sleutels in
~/.openclaw/.envwaarvan de waarden zijn gemigreerd
Details van het plancontract (toegestane doelpaden, validatieregels, foutsemantiek): Contract voor het toepassen van geheimenplannen.
Waarom er geen back-ups voor terugdraaien zijn
secrets apply schrijft bewust geen back-ups voor terugdraaien die oude waarden in platte tekst bevatten. De veiligheid komt voort uit een strikte preflight en vrijwel atomaire toepassing, met bij een fout een herstelpoging in het geheugen.
Voorbeeld
openclaw secrets audit --checkopenclaw secrets configureopenclaw secrets audit --checkAls audit --check nog steeds bevindingen voor platte tekst rapporteert, werkt u de overige gerapporteerde doelpaden bij en voert u de audit opnieuw uit.