CLI commands
Gizli bilgiler
openclaw secrets
SecretRef'leri yönetin ve etkin çalışma zamanı anlık görüntüsünü sağlıklı tutun.
| Komut | Rol |
|---|---|
reload |
Gateway RPC (secrets.reload): başvuruları yeniden çözümler ve çalışma zamanı anlık görüntüsünü yalnızca tam başarı durumunda değiştirir (yapılandırmaya yazmaz) |
audit |
Yapılandırma/kimlik doğrulama/oluşturulan model depolarını ve eski kalıntıları düz metin, çözümlenmemiş başvurular ve öncelik sapması açısından salt okunur olarak tarar (--allow-exec kullanılmadıkça exec başvuruları atlanır) |
configure |
Sağlayıcı kurulumu, hedef eşleme ve ön kontrol için etkileşimli planlayıcı (TTY gerektirir) |
apply |
Kaydedilmiş bir planı yürütür (--dry-run yalnızca doğrular ve varsayılan olarak exec denetimlerini atlar; yazma modu, --allow-exec kullanılmadıkça exec içeren planları reddeder), ardından hedeflenen düz metin kalıntılarını temizler |
Önerilen operatör döngüsü:
openclaw secrets audit --checkopenclaw secrets configureopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-runopenclaw secrets apply --from /tmp/openclaw-secrets-plan.jsonopenclaw secrets audit --checkopenclaw secrets reloadPlanınız exec SecretRef'leri/sağlayıcıları içeriyorsa hem deneme çalıştırması hem de yazma amaçlı apply komutlarında --allow-exec kullanın.
CI/geçitler için çıkış kodları:
audit --check, bulgu olduğunda1döndürür.- Çözümlenmemiş başvurular,
--checkdeğerinden bağımsız olarak2döndürür.
İlgili: Gizli Bilgi Yönetimi · SecretRef Kimlik Bilgisi Yüzeyi · Güvenlik
Çalışma zamanı anlık görüntüsünü yeniden yükleme
openclaw secrets reloadopenclaw secrets reload --jsonopenclaw secrets reload --url ws://127.0.0.1:18789 --token <token>secrets.reload Gateway RPC yöntemini kullanır. Çözümleme başarısız olursa Gateway, bilinen son iyi anlık görüntüsünü korur ve bir hata döndürür (kısmi etkinleştirme yapılmaz). JSON yanıtı warningCount içerir.
Seçenekler: --url <url>, --token <token>, --timeout <ms>, --json.
Denetim
OpenClaw durumunu şunlar açısından tarar:
- düz metin gizli bilgi depolama
- çözümlenmemiş başvurular
- öncelik sapması (
auth-profiles.jsonkimlik bilgilerininopenclaw.jsonbaşvurularını gölgelemesi) - oluşturulan
agents/*/agent/models.jsonkalıntıları (sağlayıcıapiKeydeğerleri ve hassas sağlayıcı üstbilgileri) - eski kalıntılar (eski kimlik doğrulama deposu girdileri, OAuth hatırlatıcıları)
Hassas sağlayıcı üstbilgisi algılama, ad sezgisine dayanır: adı yaygın kimlik doğrulama/kimlik bilgisi parçalarıyla (authorization, x-api-key, token, secret, password, credential) eşleşen üstbilgileri işaretler.
openclaw secrets auditopenclaw secrets audit --checkopenclaw secrets audit --jsonopenclaw secrets audit --allow-execRapor yapısı:
status:clean | findings | unresolvedresolution:refsChecked,skippedExecRefs,resolvabilityCompletesummary:plaintextCount,unresolvedRefCount,shadowedRefCount,legacyResidueCount- bulgu kodları:
PLAINTEXT_FOUND,REF_UNRESOLVED,REF_SHADOWED,LEGACY_RESIDUE
Yapılandırma (etkileşimli yardımcı)
Sağlayıcı ve SecretRef değişikliklerini etkileşimli olarak oluşturun, ön kontrolü çalıştırın ve isteğe bağlı olarak uygulayın:
openclaw secrets configureopenclaw secrets configure --plan-out /tmp/openclaw-secrets-plan.jsonopenclaw secrets configure --apply --yesopenclaw secrets configure --providers-onlyopenclaw secrets configure --skip-provider-setupopenclaw secrets configure --agent opsopenclaw secrets configure --jsonAkış: önce sağlayıcı kurulumu (secrets.providers takma adlarını ekleme/düzenleme/kaldırma), ardından kimlik bilgisi eşleme (alanları seçme, {source, provider, id} başvurularını atama), sonrasında ön kontrol ve isteğe bağlı uygulama.
Bayraklar:
--providers-only: yalnızcasecrets.providersyapılandırmasını yapar, kimlik bilgisi eşlemeyi atlar--skip-provider-setup: sağlayıcı kurulumunu atlar, kimlik bilgilerini mevcut sağlayıcılarla eşler--agent <id>:auth-profiles.jsonhedef keşfini ve yazma işlemlerini tek bir aracı deposuyla sınırlar--allow-exec: ön kontrol/uygulama sırasında exec SecretRef denetimlerine izin verir (sağlayıcı komutlarını yürütebilir)
--providers-only ve --skip-provider-setup birlikte kullanılamaz.
Notlar:
- Etkileşimli bir TTY gerektirir.
- Seçilen aracı kapsamı için
openclaw.jsoniçindeki gizli bilgi taşıyan alanları veauth-profiles.jsondosyasını hedefler; standart desteklenen yüzey: SecretRef Kimlik Bilgisi Yüzeyi. - Seçici akışında doğrudan yeni
auth-profiles.jsoneşlemeleri oluşturmayı destekler. - Uygulamadan önce ön kontrol çözümlemesini çalıştırır.
- Oluşturulan planlarda temizleme seçenekleri varsayılan olarak etkindir (
scrubEnv,scrubAuthProfilesForProviderTargets,scrubLegacyAuthJson). Uygulama, temizlenen düz metin değerleri açısından tek yönlüdür. --applykullanılmadığında bile CLI, ön kontrolden sonraApply this plan now?istemini gösterir.--applykullanıldığında (--yesolmadan) CLI, geri alınamaz geçiş için ek bir onay ister.--json, planı ve ön kontrol raporunu yazdırır ancak yine de etkileşimli bir TTY gerektirir.
Exec sağlayıcı güvenliği
Homebrew kurulumları genellikle /opt/homebrew/bin/* altında sembolik bağlantılı ikili dosyalar sunar. allowSymlinkCommand: true ayarını yalnızca güvenilir paket yöneticisi yolları için gerektiğinde, trustedDirs ile birlikte (örneğin ["/opt/homebrew"]) kullanın. Windows'ta bir sağlayıcı yolu için ACL doğrulaması kullanılamıyorsa OpenClaw kapalı güvenlik yaklaşımıyla başarısız olur; yalnızca güvenilir yollarda, yol güvenliği denetimini atlamak için ilgili sağlayıcıda allowInsecurePath: true ayarını kullanın.
Kaydedilmiş bir planı uygulama
openclaw secrets apply --from /tmp/openclaw-secrets-plan.jsonopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --allow-execopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-runopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run --allow-execopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --json--dry-run, dosyalara yazmadan ön kontrolü doğrular; deneme çalıştırmasında exec SecretRef denetimleri varsayılan olarak atlanır. Yazma modu, --allow-exec kullanılmadıkça exec SecretRef'leri/sağlayıcıları içeren planları reddeder. Her iki modda da exec sağlayıcı denetimlerini/yürütmesini etkinleştirmek için --allow-exec kullanın.
apply şunları güncelleyebilir:
openclaw.json(SecretRef hedefleri + sağlayıcı eklemeleri/güncellemeleri/silmeleri)auth-profiles.json(sağlayıcı hedefi temizleme)- eski
auth.jsonkalıntıları - değerleri taşınmış olan
~/.openclaw/.envdosyasındaki bilinen gizli bilgi anahtarları
Plan sözleşmesi ayrıntıları (izin verilen hedef yolları, doğrulama kuralları, hata semantiği): Gizli Bilgileri Uygulama Planı Sözleşmesi.
Neden geri alma yedekleri yok?
secrets apply, eski düz metin değerlerini içeren geri alma yedeklerini bilinçli olarak yazmaz. Güvenlik; sıkı ön kontrol, yaklaşık atomik uygulama ve hata durumunda bellekte en iyi çabayla geri yükleme sayesinde sağlanır.
Örnek
openclaw secrets audit --checkopenclaw secrets configureopenclaw secrets audit --checkaudit --check hâlâ düz metin bulguları bildiriyorsa kalan bildirilmiş hedef yollarını güncelleyin ve denetimi yeniden çalıştırın.