Credential Manager — 凭证管理器
v1.3.0OpenClaw 的强制安全基础。将分散的 API 密钥和凭证整合到具有适当权限的安全 .env 文件中。在设置 OpenClaw、迁移凭证、审计安全性或强制实施 .env 标准时使用。这不是可选的——集中式凭证管理是安全 OpenClaw 部署的核心要求。扫描常见位置的凭证文件,备份现有文件,创建具有模式 600 的统一 .env 文件,验证安全性,并强制实施最佳实践。
by 运行时依赖
安装命令
点击复制技能文档
Credential Manager 状态:强制安全基础 将分散的 API 密钥和凭证整合到安全的集中式 .env 文件中。 这不是可选的 集中式 .env 凭证管理是 OpenClaw 安全的核心要求。如果您的凭证分散在多个文件中,请立即停止并整合它们。 规则:所有凭证必须在 ~/.openclaw/.env 中 没有工作空间,没有技能,没有脚本目录。 参见:CORE-PRINCIPLE.md - 为什么这是不可商量的 CONSOLIDATION-RULE.md - 单一来源原则 基础 每个 OpenClaw 部署必须有: ~/.openclaw/.env (模式 600) 这是您所有凭证的单一来源。没有例外。 为什么? 单一位置 = 更容易安全 文件模式 600 = 只有您可以读取 Git 忽略 = 不会意外提交 验证格式 = 捕获错误 审计跟踪 = 知道什么改变了 分散的凭证 = 分散的攻击面。这项技能可以解决这个问题。 这项技能的作用 扫描常见位置的凭证 备份现有的凭证文件(带时间戳) 整合到 ~/.openclaw/.env 中 使用适当的权限(600)来保护 验证安全性和格式 强制执行最佳实践 在迁移后清理旧文件 检测参数 该技能通过扫描以下内容来自动检测凭证: 文件模式:config 目录中的 credentials.json 文件 .env 文件 内存文件中包含 -creds 或 credentials 的名称 敏感关键字模式:API 密钥、访问令牌、Bearer 令牌 秘密、密码、密码短语 OAuth 消费者密钥 私钥、签名密钥、钱包密钥 助记符和种子短语 安全检查: 文件权限(必须是 600) Git 忽略保护 格式验证 快速开始 全部迁移(推荐) # 扫描凭证 ./scripts/scan.py # 审查和整合 ./scripts/consolidate.py # 验证安全性 ./scripts/validate.py 个别操作 # 只扫描 ./scripts/scan.py # 整合特定服务 ./scripts/consolidate.py --service x # 备份而不删除 ./scripts/consolidate.py --backup-only # 清理旧文件 ./scripts/cleanup.py --confirm 常见凭证位置 该技能扫描以下位置: ~/.config//credentials.json ~/.openclaw/workspace/memory/-creds.json ~/.openclaw/workspace/memory/credentials.json ~/.env (如果存在,合并) 安全功能 文件权限:设置 .env 为模式 600(所有者只读) Git 保护:创建/更新 .gitignore 备份:在更改前创建时间戳备份 验证:检查格式、权限和重复 模板:创建 .env.example(安全共享) 输出结构 迁移后: ~/.openclaw/ ├── .env # 所有凭证(安全) ├── .env.example # 模板(安全) ├── .gitignore # 保护 .env ├── CREDENTIALS.md # 文档 └── backups/ └── credentials-old-YYYYMMDD/ # 旧文件备份 支持的服务 自动检测的常见服务: X(Twitter):OAuth 1.0a 凭证 Molten:Agent 意图匹配 Moltbook:Agent 社交网络 Botchan/4claw:Net 协议 OpenAI、Anthropic、Google:AI 提供商 GitHub、GitLab:代码托管 通用:API_KEY、_TOKEN、_SECRET 模式 参见 references/supported-services.md 获取完整列表。 安全最佳实践 参见 references/security.md 获取详细的安全指南。 快速检查清单: .env 有 600 权限 .env 被 Git 忽略 代码或日志中没有凭证 定期轮换密钥 每个环境使用单独的密钥 脚本 所有脚本都支持 --help 以获取详细的使用方法。 scan.py # 扫描和报告 ./scripts/scan.py # 包括自定义路径 ./scripts/scan.py --paths ~/.myapp/config ~/.local/share/creds # JSON 输出 ./scripts/scan.py --format json consolidate.py # 交互模式(在更改前提示) ./scripts/consolidate.py # 自动确认(无提示) ./scripts/consolidate.py --yes # 只备份 ./scripts/consolidate.py --backup-only # 特定服务 ./scripts/consolidate.py --service molten validate.py # 全面验证 ./scripts/validate.py # 只检查权限 ./scripts/validate.py --check permissions # 自动修复问题 ./scripts/validate.py --fix cleanup.py # 干跑(显示将被删除的内容) ./scripts/cleanup.py # 实际删除旧文件 ./scripts/cleanup.py --confirm # 保留备份 ./scripts/cleanup.py --confirm --keep-backups 迁移工作流 步骤 1:发现 ./scripts/scan.py 审查输出以查看将要迁移的内容。 步骤 2:备份和整合 ./scripts/consolidate.py 创建备份,构建 .env,设置权限。 步骤 3:验证 ./scripts/validate.py 确保一切都安全和正确。 步骤 4:测试 使用新的 .env 文件测试您的应用程序/技能。 步骤 5:清理 ./scripts/cleanup.py --confirm 删除旧的凭证文件(备份保留)。 对于技能开发者: 强制执行此标准 其他 OpenClaw 技能必须在使用凭证之前验证它们是否安全: Python S