- Yapılandırma gizli bilgileri:
openclaw.jsoniçindeki herhangi bir SecretRef alanı, çalışma zamanındaopCLI aracılığıyla çözümlenebilir; böylece API anahtarları hiçbir zaman yapılandırma dosyasında bulunmaz. - Ajan iş akışları: paketle birlikte gelen
1passwordskill’i, ajanlara kendi görevleri içinopile oturum açmayı ve gizli bilgileri okumayı veya enjekte etmeyi öğretir.
Gereksinimler
- 1Password CLI (
op), Gateway ana makinesine yüklenmiş olmalıdır (macOS’tabrew install 1password-cli). opiçin bir kimlik doğrulama modu:- Hizmet hesabı (ekransız Gateway’ler için önerilir): Gateway hizmet ortamında
OP_SERVICE_ACCOUNT_TOKENdeğişkenini dışa aktarın. Masaüstü uygulaması ve etkileşimli oturum açma gerekmez. - Masaüstü uygulaması entegrasyonu: 1Password uygulaması, CLI entegrasyonu etkinleştirilmiş olarak aynı makinede çalışır. İlk çağrılar Touch ID’yi veya sistem kimlik doğrulamasını tetikleyebilir.
- Bağımsız oturum açma:
op signin, her oturumda istem gösterir. Skill aracılığıyla ajanlar için kullanılabilir, ancak ekransız bir Gateway’de yapılandırma gizli bilgilerinin çözümlenmesi için uygun değildir.
- Hizmet hesabı (ekransız Gateway’ler için önerilir): Gateway hizmet ortamında
Yapılandırma gizli bilgilerini op ile çözümleme
Birop://vault/item/field başvurusuyla op read çalıştıran bir exec gizli bilgi sağlayıcısı tanımlayın, ardından SecretRef destekleyen herhangi bir alanı buna yönlendirin:
commandmutlak bir yol olmalıdır;trustedDirsbu dizini güvenilir olarak işaretler ve Homebrew,opdosyasını sembolik bağlantı olarak yüklediği içinallowSymlinkCommandgereklidir.args,op://vault/item/fieldbaşvurusunu olduğu gibi taşır. OpenClaw,op://şemasını kendisi ayrıştırmaz; bunuopikili dosyası çözümler.passEnv, listelenen değişkenleri Gateway ortamından iletir. Masaüstü uygulaması entegrasyonuHOMEgerektirir; hizmet hesapları ayrıca Gateway hizmet ortamındaOP_SERVICE_ACCOUNT_TOKENbulunmasını gerektirir (bunupassEnviçine ekleyin veya yalnızca token’ın yapılandırma dosyasında okunabilir olmasını kabul ediyorsanızenvaracılığıyla ayarlayın).- Tek değerli çıktı için
id: "value"ayarını koruyun.jsonOnly: trueve bir JSON yükü kullanıldığında, bunun yerine alanları bir JSON işaretçisi kimliğiyle adresleyin. - Her gizli bilgi için bir sağlayıcı girdisi kullanmak, başvuruların denetlenebilir kalmasını sağlar; sağlayıcıları tüketicilerine göre adlandırın (
onepassword_openai,onepassword_telegram).
Ekransız Gateway’ler için hizmet hesabı kurulumu
- 1Password hesabınızda bir hizmet hesabı oluşturun ve yalnızca Gateway’in ihtiyaç duyduğu kasa öğelerine okuma erişimi verin.
OP_SERVICE_ACCOUNT_TOKENdeğerini Gateway hizmetine sağlayın (launchd plist’i, systemd birimi veya kapsayıcı ortamı)."OP_SERVICE_ACCOUNT_TOKEN"değerini sağlayıcınınpassEnvlistesine ekleyin.- Gateway ana makine ortamından doğrulayın:
op whoami, istem göstermeden hizmet hesabını yazdırmalıdır.
op:// başvurusunda açıkça adlandırılmasını gerektirir. Hesabın kapsamını sıkı tutun; bu, hamiline ait bir kimlik bilgisidir.
Ajanlar için 1password skill’i
OpenClaw, ajanları yetkinop operatörlerine dönüştüren bir 1password skill’i paketle sunar: kullanılabilir kimlik doğrulama modunu (hizmet hesabı, masaüstü uygulaması entegrasyonu veya bağımsız oturum açma) algılar, herhangi bir şeyi okumadan önce op whoami ile erişimi doğrular ve gizli bilgi değerlerini diske yazmak yerine op run / op inject kullanımını tercih eder. Skill, op ikili dosyasını gerektirir ve eksik olduğunda Homebrew ile yükleme seçeneği sunar.
Ajanlar bunu kendi iş akışlarında, örneğin görevin ortasında bir dağıtım token’ı okumak veya ortam değişkenlerini bir komuta enjekte etmek için kullanır. Yapılandırma gizli bilgilerinin çözümlenmesinden bağımsızdır; Gateway, herhangi bir skill devreye girmeden SecretRef’leri çözümler.
Güvenlik notları
- Exec sağlayıcıları aracılığıyla çözümlenen gizli bilgi değerleri Gateway belleğinde kalır; yapılandırma anlık görüntüleri ve
config.getyanıtları SecretRef alanlarını sansürler. - Gizli bilgi değerlerini asla
openclaw.json, günlüklere veya sohbete koymayın. Öğe adlarını yapılandırmada, değerleri 1Password’da tutun. - 1Password denetim izi, her hizmet hesabı okumasını göstererek anahtar döndürme ve olay incelemesini uygulanabilir kılar.
Sorun giderme
command not foundveya işlem başlatma hataları: mutlakopyolunu kullanın ve dizininitrustedDirsiçine ekleyin.opçözümleniyor ancak okuma işlemleri sembolik bağlantı hatalarıyla başarısız oluyor: Homebrew yüklemeleri içinallowSymlinkCommand: trueayarını yapın.account is not signed in: hizmet hesapları içinOP_SERVICE_ACCOUNT_TOKENdeğerinin Gateway hizmetine ulaştığını vepassEnviçinde listelendiğini doğrulayın; masaüstü entegrasyonu için uygulamanın çalıştığını ve kilidinin açık olduğunu doğrulayın.- İlk okumalar yavaşsa: sağlayıcıdaki
timeoutMsdeğerini artırın;opsoğuk başlatmaları, yoğun ana makinelerde katı zaman aşımlarını aşabilir.