CLI commands
Секрети
openclaw secrets
Керуйте SecretRef і підтримуйте активний знімок середовища виконання в справному стані.
| Команда | Роль |
|---|---|
reload |
RPC Gateway (secrets.reload): повторно вирішує посилання й замінює знімок середовища виконання лише в разі повного успіху (без запису конфігурації) |
audit |
Сканування лише для читання сховищ конфігурації, автентифікації та згенерованих моделей, а також застарілих залишків на відкритий текст, невирішені посилання й розбіжності пріоритетів (посилання exec пропускаються без --allow-exec) |
configure |
Інтерактивний планувальник налаштування провайдерів, зіставлення цілей і попередньої перевірки (потребує TTY) |
apply |
Виконує збережений план (--dry-run лише перевіряє та типово пропускає перевірки exec; режим запису відхиляє плани з exec без --allow-exec), а потім видаляє цільові залишки відкритого тексту |
Рекомендований цикл оператора:
openclaw secrets audit --checkopenclaw secrets configureopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-runopenclaw secrets apply --from /tmp/openclaw-secrets-plan.jsonopenclaw secrets audit --checkopenclaw secrets reloadЯкщо ваш план містить SecretRef або провайдери exec, передайте --allow-exec обом командам apply: і для пробного запуску, і для запису.
Коди завершення для CI/контрольних перевірок:
audit --checkповертає1, якщо виявлено проблеми.- Невирішені посилання повертають
2(незалежно від--check).
Пов’язані матеріали: Керування секретами · Поверхня облікових даних SecretRef · Безпека
Перезавантаження знімка середовища виконання
openclaw secrets reloadopenclaw secrets reload --jsonopenclaw secrets reload --url ws://127.0.0.1:18789 --token <token>Використовує RPC-метод Gateway secrets.reload. Якщо вирішити посилання не вдається, Gateway зберігає останній відомий справний знімок і повертає помилку (без часткової активації). Відповідь JSON містить warningCount.
Параметри: --url <url>, --token <token>, --timeout <ms>, --json.
Аудит
Сканує стан OpenClaw на наявність:
- зберігання секретів у відкритому вигляді
- невирішених посилань
- розбіжностей пріоритетів (облікові дані
auth-profiles.json, що перекривають посиланняopenclaw.json) - залишків у згенерованих
agents/*/agent/models.json(значеньapiKeyпровайдера та конфіденційних заголовків провайдера) - застарілих залишків (записів у застарілому сховищі автентифікації, нагадувань OAuth)
Виявлення конфіденційних заголовків провайдера ґрунтується на евристиці назв: позначаються заголовки, назви яких відповідають поширеним фрагментам автентифікації або облікових даних (authorization, x-api-key, token, secret, password, credential).
openclaw secrets auditopenclaw secrets audit --checkopenclaw secrets audit --jsonopenclaw secrets audit --allow-execСтруктура звіту:
status:clean | findings | unresolvedresolution:refsChecked,skippedExecRefs,resolvabilityCompletesummary:plaintextCount,unresolvedRefCount,shadowedRefCount,legacyResidueCount- коди виявлених проблем:
PLAINTEXT_FOUND,REF_UNRESOLVED,REF_SHADOWED,LEGACY_RESIDUE
Налаштування (інтерактивний помічник)
Інтерактивно сформуйте зміни провайдерів і SecretRef, виконайте попередню перевірку та, за бажанням, застосуйте їх:
openclaw secrets configureopenclaw secrets configure --plan-out /tmp/openclaw-secrets-plan.jsonopenclaw secrets configure --apply --yesopenclaw secrets configure --providers-onlyopenclaw secrets configure --skip-provider-setupopenclaw secrets configure --agent opsopenclaw secrets configure --jsonПослідовність: спочатку налаштування провайдерів (додавання, редагування або видалення псевдонімів secrets.providers), потім зіставлення облікових даних (вибір полів і призначення посилань {source, provider, id}), далі попередня перевірка та необов’язкове застосування.
Прапорці:
--providers-only: налаштувати лишеsecrets.providers, пропустивши зіставлення облікових даних--skip-provider-setup: пропустити налаштування провайдерів і зіставити облікові дані з наявними провайдерами--agent <id>: обмежити пошук цілей і запис уauth-profiles.jsonсховищем одного агента--allow-exec: дозволити перевірки SecretRefexecпід час попередньої перевірки або застосування (може виконувати команди провайдера)
--providers-only і --skip-provider-setup не можна використовувати разом.
Примітки:
- Потребує інтерактивного TTY.
- Охоплює поля із секретами в
openclaw.json, а такожauth-profiles.jsonдля вибраної області агента; канонічна підтримувана поверхня: Поверхня облікових даних SecretRef. - Підтримує створення нових зіставлень
auth-profiles.jsonбезпосередньо в процесі вибору. - Перед застосуванням виконує попереднє вирішення посилань.
- У згенерованих планах параметри очищення типово ввімкнені (
scrubEnv,scrubAuthProfilesForProviderTargets,scrubLegacyAuthJson). Застосування незворотно видаляє очищені значення у відкритому вигляді. - Без
--applyCLI все одно запитуєApply this plan now?після попередньої перевірки. - З
--apply(і без--yes) CLI запитує додаткове підтвердження незворотної міграції. --jsonвиводить план і звіт попередньої перевірки, але все одно потребує інтерактивного TTY.
Безпека провайдера Exec
Інсталяції Homebrew часто надають символічні посилання на виконувані файли в /opt/homebrew/bin/*. Установлюйте allowSymlinkCommand: true лише за потреби для довірених шляхів менеджера пакетів і разом із trustedDirs (наприклад, ["/opt/homebrew"]). У Windows, якщо для шляху провайдера неможливо перевірити ACL, OpenClaw забороняє операцію; лише для довірених шляхів установіть для цього провайдера allowInsecurePath: true, щоб оминути перевірку безпеки шляху.
Застосування збереженого плану
openclaw secrets apply --from /tmp/openclaw-secrets-plan.jsonopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --allow-execopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-runopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run --allow-execopenclaw secrets apply --from /tmp/openclaw-secrets-plan.json --json--dry-run виконує попередню перевірку без запису файлів; під час пробного запуску перевірки SecretRef exec типово пропускаються. Режим запису відхиляє плани, що містять SecretRef або провайдери exec, якщо не вказано --allow-exec. Використовуйте --allow-exec, щоб явно дозволити перевірки або виконання провайдерів exec у будь-якому режимі.
Що може оновити apply:
openclaw.json(цілі SecretRef, а також додавання, оновлення й видалення провайдерів)auth-profiles.json(очищення цілей провайдера)- застарілі залишки
auth.json - відомі ключі секретів у
~/.openclaw/.env, значення яких було перенесено
Докладний контракт плану (дозволені цільові шляхи, правила перевірки, семантика помилок): Контракт плану застосування секретів.
Чому немає резервних копій для відкочування
secrets apply навмисно не створює резервних копій для відкочування, які містили б старі значення у відкритому вигляді. Безпеку забезпечують сувора попередня перевірка та майже атомарне застосування зі спробою відновлення в пам’яті в разі помилки.
Приклад
openclaw secrets audit --checkopenclaw secrets configureopenclaw secrets audit --checkЯкщо audit --check усе ще повідомляє про значення у відкритому вигляді, оновіть решту зазначених цільових шляхів і повторно виконайте аудит.