​

openclaw secrets

• reload: gateway RPC (secrets.reload) tái giải quyết tham chiếu và thay thế trạng thái runtime chỉ khi thành công hoàn toàn (không ghi cấu hình).
• audit: quét chỉ đọc các kho cấu hình/xác thực/mô hình tạo ra và dư lượng cũ cho văn bản rõ, tham chiếu chưa giải quyết, và sự trôi dạt ưu tiên (tham chiếu thực thi bị bỏ qua trừ khi --allow-exec được đặt).
• configure: lập kế hoạch tương tác cho thiết lập nhà cung cấp, ánh xạ mục tiêu, và kiểm tra trước (yêu cầu TTY).
• apply: thực thi một kế hoạch đã lưu (--dry-run chỉ để xác thực; dry-run bỏ qua kiểm tra thực thi theo mặc định, và chế độ ghi từ chối các kế hoạch chứa thực thi trừ khi --allow-exec được đặt), sau đó xóa dư lượng văn bản rõ mục tiêu.

openclaw secrets audit --check
openclaw secrets configure
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json
openclaw secrets audit --check
openclaw secrets reload

• audit --check trả về 1 khi có phát hiện.
• tham chiếu chưa giải quyết trả về 2.

• Hướng dẫn quản lý bí mật: Secrets Management
• Bề mặt thông tin xác thực: SecretRef Credential Surface
• Hướng dẫn bảo mật: Security

​

Tải lại trạng thái runtime

openclaw secrets reload
openclaw secrets reload --json

• Sử dụng phương thức gateway RPC secrets.reload.
• Nếu giải quyết thất bại, gateway giữ lại trạng thái tốt nhất đã biết và trả về lỗi (không kích hoạt một phần).
• Phản hồi JSON bao gồm warningCount.

​

Kiểm tra

• lưu trữ bí mật văn bản rõ
• tham chiếu chưa giải quyết
• sự trôi dạt ưu tiên (thông tin xác thực auth-profiles.json che khuất tham chiếu openclaw.json)
• dư lượng tạo ra agents/*/agent/models.json (giá trị apiKey của nhà cung cấp và tiêu đề nhạy cảm của nhà cung cấp)
• dư lượng cũ (mục lưu trữ xác thực cũ, nhắc nhở OAuth)

• Phát hiện tiêu đề nhạy cảm của nhà cung cấp dựa trên tên-heuristic (tên và đoạn mã tiêu đề xác thực/thông tin xác thực phổ biến như authorization, x-api-key, token, secret, password, và credential).

openclaw secrets audit
openclaw secrets audit --check
openclaw secrets audit --json
openclaw secrets audit --allow-exec

• --check thoát với mã khác không khi có phát hiện.
• tham chiếu chưa giải quyết thoát với mã khác không ưu tiên cao hơn.

• status: clean | findings | unresolved
• resolution: refsChecked, skippedExecRefs, resolvabilityComplete
• summary: plaintextCount, unresolvedRefCount, shadowedRefCount, legacyResidueCount
• mã phát hiện:
  • PLAINTEXT_FOUND
  • REF_UNRESOLVED
  • REF_SHADOWED
  • LEGACY_RESIDUE

​

Cấu hình (trợ giúp tương tác)

openclaw secrets configure
openclaw secrets configure --plan-out /tmp/openclaw-secrets-plan.json
openclaw secrets configure --apply --yes
openclaw secrets configure --providers-only
openclaw secrets configure --skip-provider-setup
openclaw secrets configure --agent ops
openclaw secrets configure --json

• Thiết lập nhà cung cấp trước (thêm/sửa/xóa cho bí danh secrets.providers).
• Ánh xạ thông tin xác thực thứ hai (chọn trường và gán tham chiếu {source, provider, id}).
• Kiểm tra trước và áp dụng tùy chọn cuối cùng.

• --providers-only: chỉ cấu hình secrets.providers, bỏ qua ánh xạ thông tin xác thực.
• --skip-provider-setup: bỏ qua thiết lập nhà cung cấp và ánh xạ thông tin xác thực tới các nhà cung cấp hiện có.
• --agent <id>: giới hạn khám phá mục tiêu auth-profiles.json và ghi vào một kho đại lý.
• --allow-exec: cho phép kiểm tra SecretRef thực thi trong quá trình kiểm tra trước/áp dụng (có thể thực thi lệnh nhà cung cấp).

• Yêu cầu một TTY tương tác.
• Không thể kết hợp --providers-only với --skip-provider-setup.
• configure nhắm mục tiêu các trường mang bí mật trong openclaw.json cộng với auth-profiles.json cho phạm vi đại lý đã chọn.
• configure hỗ trợ tạo ánh xạ auth-profiles.json mới trực tiếp trong quy trình chọn.
• Bề mặt hỗ trợ chuẩn: SecretRef Credential Surface.
• Nó thực hiện giải quyết trước khi áp dụng.
• Nếu kiểm tra trước/áp dụng bao gồm tham chiếu thực thi, giữ --allow-exec được đặt cho cả hai bước.
• Các kế hoạch tạo ra mặc định có các tùy chọn xóa (scrubEnv, scrubAuthProfilesForProviderTargets, scrubLegacyAuthJson đều được bật).
• Đường dẫn áp dụng là một chiều cho các giá trị văn bản rõ đã bị xóa.
• Không có --apply, CLI vẫn nhắc Áp dụng kế hoạch này ngay bây giờ? sau khi kiểm tra trước.
• Với --apply (và không có --yes), CLI nhắc thêm một xác nhận không thể đảo ngược.

• Cài đặt Homebrew thường phơi bày các tệp nhị phân liên kết tượng trưng dưới /opt/homebrew/bin/*.
• Đặt allowSymlinkCommand: true chỉ khi cần thiết cho các đường dẫn trình quản lý gói đáng tin cậy, và kết hợp với trustedDirs (ví dụ ["/opt/homebrew"]).
• Trên Windows, nếu xác minh ACL không khả dụng cho một đường dẫn nhà cung cấp, OpenClaw sẽ thất bại. Đối với các đường dẫn đáng tin cậy, chỉ cần đặt allowInsecurePath: true trên nhà cung cấp đó để bỏ qua kiểm tra bảo mật đường dẫn.

​

Áp dụng một kế hoạch đã lưu

openclaw secrets apply --from /tmp/openclaw-secrets-plan.json
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --allow-exec
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run --allow-exec
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --json

• --dry-run xác thực kiểm tra trước mà không ghi tệp.
• kiểm tra SecretRef thực thi bị bỏ qua theo mặc định trong dry-run.
• chế độ ghi từ chối các kế hoạch chứa SecretRefs/nhà cung cấp thực thi trừ khi --allow-exec được đặt.
• Sử dụng --allow-exec để chọn tham gia kiểm tra/thực thi nhà cung cấp thực thi trong cả hai chế độ.

• Secrets Apply Plan Contract

• openclaw.json (mục tiêu SecretRef + thêm/xóa nhà cung cấp)
• auth-profiles.json (xóa mục tiêu nhà cung cấp)
• dư lượng auth.json cũ
• ~/.openclaw/.env các khóa bí mật đã biết có giá trị đã được di chuyển

​

Tại sao không có sao lưu rollback

​

Ví dụ

openclaw secrets audit --check
openclaw secrets configure
openclaw secrets audit --check