by 安全扫描
OpenClaw
安全
high confidence该技能内部一致于其声明的目的(它封装了官方 bw CLI),但运行时文档引用了一个敏感的 BW_SESSION 环境变量,该变量未在元数据中声明,并建议将其持久化在 ~/.zshrc 中 —— 您应该谨慎处理。
评估建议
该技能似乎做了它所说的:运行官方 Bitwarden CLI (bw) 来读取和管理保管库项目。安装前,请确认您已安装 bw 并了解含义:代理将需要访问您的 BW_SESSION(一个活跃的 Bitwarden 会话令牌)来操作,并且它运行的任何命令都可以读取您的保管库条目。请要求发布者更新元数据以声明 BW_SESSION 作为所需的凭据,因此您可以明确审查它。尽量避免以明文形式永久存储 BW_SESSION(例如,~/.zshrc) —— 如果可能,偏好短暂会话、按需手动运行 bw login/unlock 或使用短期会话令牌。仅在信任代理处理敏感数据时启用此技能,并考虑首先在受限账户/保管库中限制自动调用或进行测试。...详细分析 ▾
✓ 用途与能力
名称/描述与所需二进制 (bw) 匹配。SKILL.md 中的所有主要操作都是 bw CLI 命令;要求 bw 二进制是合适的和比例的。
⚠ 指令范围
SKILL.md 明确预期一个 BW_SESSION 环境变量并建议将其持久化在 ~/.zshrc 中,但 requires.env 列出了没有环境变量。指令引用运行 bw 并将输出管道到本地 python 命令 —— 预期 —— 但未声明的 BW_SESSION 使用和指导将会话存储在 shell RC 文件中的范围/信息处理不一致应被澄清。
✓ 安装机制
仅指令技能;无安装规格。README/本地指导建议通过 npm 安装官方 CLI(npm install -g @bitwarden/cli),这是一个正常的、低风险的推荐(无任意下载或提取)。
ℹ 凭证需求
访问 Bitwarden 会话 (BW_SESSION) 与技能的目的成比例。然而,会话令牌是敏感的,技能未将其声明为所需的环境变量。SKILL.md 还建议将会话持久化在 ~/.zshrc 中,如果不仔细处理,可以暴露凭据。
✓ 持久化与权限
always 为 false 且技能不请求系统范围的更改或修改其他技能的配置。允许模型调用(平台默认);与访问秘密结合,这增加了风险,但对于密码管理技能这是预期的。
安全有层次,运行前请审查代码。
运行时依赖
🖥️ OSLinux · macOS
版本
latestv1.0.02026/2/23
bitwarden-bw 1.0.0 初始版本: - 使用官方 bw CLI 访问和管理 Bitwarden 密码。 - 支持查看密码、用户名、TOTP 代码和完整项目详细信息。 - 提供命令搜索保管库项目和同步保管库。 - 需要 bw CLI 和 BW_SESSION 环境变量。
● 无害
安装命令 点击复制
官方npx clawhub@latest install bitwarden-bw
镜像加速npx clawhub@latest install bitwarden-bw --registry https://cn.clawhub-mirror.com
技能文档
使用官方 bw CLI 与 Bitwarden 保管库交互。
前提条件
bwCLI 安装:npm install -g @bitwarden/cliBW_SESSION环境变量设置(保存在~/.zshrc中)
使用
获取密码
bw get password "site_name"
获取用户名
bw get username "site_name"
获取完整项目(JSON)
bw get item "site_name" --pretty
搜索
bw list items --search "query" | python3 -c "import json,sys; [print(f'{i["name"]} ({i.get("login",{}).get("username","")})')for i in json.load(sys.stdin)]"
同步保管库
bw sync
TOTP 代码
bw get totp "site_name"
注
- 会话密钥在
BW_SESSION环境变量中(持久化在 ~/.zshrc 中) - 如果会话过期,用户必须重新交互式登录(
bw login需要 OTP) bw unlock可以在不完全重新登录的情况下刷新过期会话
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制