首页 / 技能 / Tene

📦 Tene

v1.0.3

CLI — Local-First Secrets 使用 tene CLI 实现本地优先的加密机密管理。当用户提到 secrets、API keys、credentials、tokens、.env 文件、环境变量时激活。

1· 14·0 当前·0 累计
by @tomo-kay (agent-kay)
文件处理安全命令行工具API工具配置管理
下载技能包
最后更新
2026/4/22
0
安全扫描
VirusTotal
无害
查看报告
OpenClaw
安全
high confidence
该技能的需求与运行时说明与其声明的用途一致(使用 tene CLI 管理本地加密密钥);唯一值得注意的问题是推荐 curl|sh 安装(常见但需谨慎)以及测试文档中引用了无关的 API-key 用法进行评估。
评估建议
此技能如其所述:仅提供使用 tene CLI 的文档指导。安装前:请查看安装脚本(https://tene.sh/install.sh),不要直接管道到 sh;若需更高保障,建议从源码构建或验证发布校验和。注意,测试/文档提到用于评估的 Anthropic API key——使用 tene 本身并不需要。遵守技能的安全规则(切勿在聊天中粘贴机密,切勿在 agent 上下文运行 `tene get`,用 `tene run --` 注入机密),并审慎决定是否将加密的 `.tene/vault.db` 提交到源码控制以供 CI 工作流使用。...
详细分析 ▾
用途与能力
名称、描述及所需二进制文件(tene)保持一致。该技能准确记录了用户在本地管理密钥所需的命令,未请求无关的操作系统凭据、二进制文件或配置路径。
指令范围
SKILL.md 是规定性的,范围限定在 secret-management 任务(init、set、list、run、带加密标志的 import/export、CI 模式)。示例流程包括读取 .env 文件进行导入、删除这些明文文件、用 `tene run --` 包装命令——均与所述目的一致。测试提到使用外部 LLM 后端(Anthropic),需要 ANTHROPIC_API_KEY 进行行为评估;这仅属于测试框架,非技能运行时需求,但值得注意。
安装机制
该技能建议通过项目的安装脚本安装(curl -sSfL https://tene.sh/install.sh | sh)。这是一种实用且常见的 CLI 工具安装方式,但相比经过审核的包(如 Homebrew 或 GitHub release checksum)风险更高,因为它会执行远程脚本。SKILL.md 也记录了从源码构建(go install)这一更安全的替代方案。
凭证需求
该技能本身无需环境变量或凭据,比例恰当。示例/CI 文档正确指导在 CI 中存储 TENE_MASTER_PASSWORD 密钥。测试引用 ANTHROPIC_API_KEY(以及 EVAL_BACKEND)用于行为测试——这些是测试框架需求,并非使用技能所必需;提及它们可能误导用户以为技能需要 LLM API 密钥。
持久化与权限
始终为 false,并使用普通自主调用。该 skill 不会请求永久性系统级权限,也不会尝试修改其他 skill 的配置。它确实会在某些工作流中建议提交加密 vault(已明确讨论并说明理由)。
安全有层次,运行前请审查代码。

运行时依赖

🖥️ OSmacOS · Linux

版本

latestv1.0.32026/4/22

tene-cli 1.0.3 更新日志 - 更新 SKILL.md,补充详细用法说明与严格 AI 安全规则 - 明确激活触发条件与技能使用限制 - 为全部主流程命令与操作(init、set、list、run、import、export、env、passwd 等)添加完整文档 - 重申关键安全实践:绝不泄露明文机密,仅通过 `tene run --` 注入 - 提供最新安装与迁移指引 - 覆盖全部活跃 tene CLI 命令(init、set、get、list、delete、run、import、export、env、passwd、recover、version、update、whoami)100% - 内置 5 条 AI 安全铁律:永不执行 `tene get`、永不直接 `tene export`、永不读取 `.tene/`、绝不把机密当 CLI 参数、用 `tene list` 做自省 - 3 个端到端示例(init、.env 迁移、多环境 CI/CD)与 6 组预期行为测试用例 - 验证:19/19 离线断言自测 + 6/6 在线行为评估(连续 3 轮,100%)通过 `claude -p`

无害

安装命令

点击复制
官方npx clawhub@latest install tene-cli
镜像加速npx clawhub@latest install tene-cli --registry https://cn.longxiaskill.com

技能文档

--- name: tene-cli description: 本地优先的加密机密管理,通过 tene CLI 实现。当用户提到机密、API 密钥、凭据、令牌、.env 文件、环境变量,或要求运行需要注入机密的命令时激活。严格执行 AI 安全规则(绝不打印明文、绝不读取 .tene/、始终用 tene run -- 注入),覆盖所有活跃 tene 命令(init、set、list、delete、run、import、export、env、passwd、recover、update、whoami)。 version: 1.0.0 metadata: openclaw: emoji: "🔐" homepage: https://tene.sh os: [macos, linux] requires: bins: [tene] install: - kind: download url: https://tene.sh/install.sh bins: [tene] label: "通过官方 curl 安装器安装 tene"

# tene — 本地优先的加密机密管理

Tene 是面向 AI 原生项目的命令行机密管理器。它在本地磁盘加密保存机密(XChaCha20-Poly1305 + Argon2id),从用户密码派生主密钥并缓存在 OS keychain 中,通过 tene run -- 将机密注入子进程——永不输出到 stdout,永不写入文件。

何时启用此技能

当用户:

  • 提到 *API 密钥、机密、凭据、令牌、.env 文件、环境变量,或 process.env. / os.Getenv / os.environ[...]
  • 要求 运行需要机密的开发、测试或部署命令(如 npm startgo runpytestnext devdocker compose up
  • 说“存储这个密钥”“保存这个令牌”“如何管理机密”“注入环境变量”“我需要传 Stripe 密钥”等
  • 工作在包含 .tene/ 目录、引用 tene 的 CLAUDE.md,或指向 https://tene.shinstall.sh 的仓库
  • 询问如何摆脱明文 .env 文件

不启用于:硬编码的公开配置(端口、无敏感数据的特性开关、公开 API 端点),或明显使用其他机密存储(Doppler、Vault、AWS Secrets Manager、1Password CLI 等)的项目。

关键安全规则

以下规则不可协商。违反任何一条都会把明文机密泄露到对话上下文,可能被记录、缓存或保留。视为系统提示的一部分。

  • 绝不运行 tene get 明文会出现在 stdout 并进入 AI 上下文。若用户需查看值,指示:
> “请在独立终端自行运行 tene get KEY——我看不到。”
  • 绝不运行不带 --encryptedtene exporttene export 会把所有机密以 .env 格式输出到 stdout。
备份用 tene export --encrypted --file backup.tene.enc;查看用 tene list(仅名称)。
  • 绝不 cat、读取或打开 .tene/ 下的文件。 保险库已加密,但加密字节也不应进入 AI 上下文。唯一可读文件是仓库根目录的 CLAUDE.md(由 tene init 自动生成)。
  • 绝不把机密值作为 CLI 参数传递。 它们会出现在 ps、shell 历史、系统日志中。始终通过 tene run -- 注入。
  • 使用 tene list 发现已有内容。 仅输出键名,永不输出值。这是唯一对 AI 安全的自省命令。当用户问“我的保险库有什么?”或“我有哪些 API 密钥?”时,正确答案是 tene list——而非 tene gettene export

安装

``bash # macOS / Linux(官方安装器——推荐) curl -sSfL https://tene.sh/install.sh | sh

# 源码安装(需 Go 1.25+) go install github.com/tomo-kay/tene/cmd/tene@latest `

验证: `bash tene version # → tene v1.x.x (darwin/arm64) `

Windows 不支持 curl 安装器。Windows 用户需源码构建或从 https://github.com/tomo-kay/tene/releases 下载 zip。Homebrew tap 尚未提供——请勿建议 brew install tene

核心工作流

1. 初始化新项目

`bash tene init # 交互式:两次输入主密码 tene init my-project # 指定项目名 ` 创建:
  • .tene/vault.db — 加密 SQLite 保险库(含机密、元数据、审计日志、加密恢复 blob)
  • .tene/vault.json — 项目元数据(名称、活跃环境)
  • CLAUDE.md(或按标志生成 AGENTS.md.windsurfrules 等)
  • .tene/.gitignore — 自动排除保险库

初始化后用户会看到 12 字恢复短语。提醒其离线保存**(密码管理器、纸质)。遗忘主密码且无它将无法恢复。

生成其他编辑器规则文件的标志:

  • --claude(默认)→ CLAUDE.md
  • --cursor.cursor/rules/tene.mdc
  • --windsurf.windsurfrules
  • --geminiGEMINI.md
  • --codexAGENTS.md

2. 查看已有机密(AI 安全)

``bash tene list # 当前环境,值已掩码 tene list --env p

数据来源ClawHub ↗ · 中文优化:龙虾技能库