Naar hoofdinhoud gaan

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

openclaw secrets

Gebruik openclaw secrets om SecretRefs te beheren en de actieve runtime-snapshot gezond te houden. Commandorollen:
  • reload: Gateway-RPC (secrets.reload) die refs opnieuw resolved en de runtime-snapshot alleen bij volledig succes wisselt (geen configuratiewrites).
  • audit: alleen-lezen scan van configuratie-/auth-/gegenereerde-model-stores en legacyresten op platte tekst, onopgeloste refs en prioriteitsdrift (exec-refs worden overgeslagen tenzij --allow-exec is ingesteld).
  • configure: interactieve planner voor providerconfiguratie, doelmapping en preflight (TTY vereist).
  • apply: voer een opgeslagen plan uit (--dry-run alleen voor validatie; dry-run slaat exec-controles standaard over, en schrijfmodus weigert plannen met exec tenzij --allow-exec is ingesteld), en scrub daarna gerichte plattetekstresten.
Aanbevolen operatorloop: 
openclaw secrets audit --check
openclaw secrets configure
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json
openclaw secrets audit --check
openclaw secrets reload
Als je plan exec SecretRefs/providers bevat, geef dan --allow-exec mee aan zowel dry-run- als schrijf-apply-commando’s. Opmerking over exitcodes voor CI/gates:
  • audit --check retourneert 1 bij bevindingen.
  • onopgeloste refs retourneren 2.
Gerelateerd:

Runtime-snapshot herladen

Resolve geheime refs opnieuw en wissel de runtime-snapshot atomair. 
openclaw secrets reload
openclaw secrets reload --json
openclaw secrets reload --url ws://127.0.0.1:18789 --token <token>
Opmerkingen:
  • Gebruikt de Gateway-RPC-methode secrets.reload.
  • Als resolutie mislukt, behoudt de Gateway de laatst bekende goede snapshot en retourneert een fout (geen gedeeltelijke activatie).
  • JSON-respons bevat warningCount.
Opties:
  • --url <url>
  • --token <token>
  • --timeout <ms>
  • --json

Audit

Scan OpenClaw-status op:
  • opslag van geheimen in platte tekst
  • onopgeloste refs
  • prioriteitsdrift (auth-profiles.json-credentials die openclaw.json-refs overschaduwen)
  • gegenereerde agents/*/agent/models.json-resten (provider-apiKey-waarden en gevoelige providerheaders)
  • legacyresten (legacy-auth-storevermeldingen, OAuth-herinneringen)
Opmerking over headerresten:
  • Detectie van gevoelige providerheaders is gebaseerd op naamheuristiek (veelvoorkomende auth-/credential-headernamen en fragmenten zoals authorization, x-api-key, token, secret, password en credential).
openclaw secrets audit
openclaw secrets audit --check
openclaw secrets audit --json
openclaw secrets audit --allow-exec
Exitgedrag:
  • --check sluit af met een niet-nulstatus bij bevindingen.
  • onopgeloste refs sluiten af met een niet-nulcode met hogere prioriteit.
Hoogtepunten van de rapportvorm:
  • status: clean | findings | unresolved
  • resolution: refsChecked, skippedExecRefs, resolvabilityComplete
  • summary: plaintextCount, unresolvedRefCount, shadowedRefCount, legacyResidueCount
  • bevindingscodes:
    • PLAINTEXT_FOUND
    • REF_UNRESOLVED
    • REF_SHADOWED
    • LEGACY_RESIDUE

Configure (interactieve helper)

Bouw provider- en SecretRef-wijzigingen interactief, voer preflight uit en pas ze optioneel toe: 
openclaw secrets configure
openclaw secrets configure --plan-out /tmp/openclaw-secrets-plan.json
openclaw secrets configure --apply --yes
openclaw secrets configure --providers-only
openclaw secrets configure --skip-provider-setup
openclaw secrets configure --agent ops
openclaw secrets configure --json
Flow:
  • Providerconfiguratie eerst (add/edit/remove voor secrets.providers-aliassen).
  • Credential-mapping daarna (selecteer velden en wijs {source, provider, id}-refs toe).
  • Preflight en optionele apply als laatste.
Flags:
  • --providers-only: configureer alleen secrets.providers, sla credential-mapping over.
  • --skip-provider-setup: sla providerconfiguratie over en map credentials naar bestaande providers.
  • --agent <id>: beperk doeldetectie en writes voor auth-profiles.json tot één agent-store.
  • --allow-exec: sta exec-SecretRef-controles toe tijdens preflight/apply (kan providercommando’s uitvoeren).
Opmerkingen:
  • Vereist een interactieve TTY.
  • Je kunt --providers-only niet combineren met --skip-provider-setup.
  • configure richt zich op velden met geheimen in openclaw.json plus auth-profiles.json voor de geselecteerde agent-scope.
  • configure ondersteunt het rechtstreeks maken van nieuwe auth-profiles.json-mappings in de pickerflow.
  • Canoniek ondersteund oppervlak: SecretRef Credential-oppervlak.
  • Het voert preflight-resolutie uit vóór apply.
  • Als preflight/apply exec-refs bevat, houd --allow-exec dan ingesteld voor beide stappen.
  • Gegenereerde plannen gebruiken standaard scrubopties (scrubEnv, scrubAuthProfilesForProviderTargets, scrubLegacyAuthJson allemaal ingeschakeld).
  • Het apply-pad is eenrichtingsverkeer voor gescrubde plattetekstwaarden.
  • Zonder --apply vraagt de CLI na preflight nog steeds Apply this plan now?.
  • Met --apply (en zonder --yes) vraagt de CLI om een extra onomkeerbare bevestiging.
  • --json drukt het plan + preflight-rapport af, maar het commando vereist nog steeds een interactieve TTY.
Veiligheidsopmerking voor exec-provider:
  • Homebrew-installaties stellen vaak gesymlinkte binaries beschikbaar onder /opt/homebrew/bin/*.
  • Stel allowSymlinkCommand: true alleen in wanneer dat nodig is voor vertrouwde package-managerpaden, en combineer dit met trustedDirs (bijvoorbeeld ["/opt/homebrew"]).
  • Op Windows faalt OpenClaw gesloten als ACL-verificatie niet beschikbaar is voor een providerpad. Stel alleen voor vertrouwde paden allowInsecurePath: true in op die provider om padbeveiligingscontroles te omzeilen.

Een opgeslagen plan toepassen

Pas een eerder gegenereerd plan toe of voer er een preflight op uit: 
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --allow-exec
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run --allow-exec
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --json
Exec-gedrag:
  • --dry-run valideert preflight zonder bestanden te schrijven.
  • exec-SecretRef-controles worden standaard overgeslagen in dry-run.
  • schrijfmodus weigert plannen die exec-SecretRefs/providers bevatten tenzij --allow-exec is ingesteld.
  • Gebruik --allow-exec om in beide modi expliciet te kiezen voor exec-providercontroles/-uitvoering.
Details van het plancontract (toegestane doelpaden, validatieregels en faalsemantiek): Wat apply kan bijwerken:
  • openclaw.json (SecretRef-doelen + provider-upserts/-verwijderingen)
  • auth-profiles.json (scrubbing van providerdoelen)
  • legacy-auth.json-resten
  • bekende geheime sleutels in ~/.openclaw/.env waarvan de waarden zijn gemigreerd

Waarom geen rollbackback-ups

secrets apply schrijft bewust geen rollbackback-ups die oude plattetekstwaarden bevatten. Veiligheid komt van strikte preflight + atomair-achtige apply met best-effort herstel in het geheugen bij falen.

Voorbeeld

openclaw secrets audit --check
openclaw secrets configure
openclaw secrets audit --check
Als audit --check nog steeds plattetekstbevindingen rapporteert, werk dan de resterende gerapporteerde doelpaden bij en voer audit opnieuw uit.

Gerelateerd