Văn bản thuần vẫn hoạt động. SecretRefs được bật tùy chọn cho từng thông tin xác thực.
Mục tiêu và mô hình runtime
Bí mật được phân giải vào một ảnh chụp runtime trong bộ nhớ.- Quá trình phân giải diễn ra sớm trong lúc kích hoạt, không trì hoãn trên các đường dẫn yêu cầu.
- Khởi động thất bại nhanh khi một SecretRef thực sự đang hoạt động không thể được phân giải.
- Tải lại dùng hoán đổi nguyên tử: thành công hoàn toàn, hoặc giữ ảnh chụp tốt gần nhất.
- Vi phạm chính sách SecretRef (ví dụ hồ sơ xác thực ở chế độ OAuth kết hợp với đầu vào SecretRef) làm quá trình kích hoạt thất bại trước khi hoán đổi runtime.
- Yêu cầu runtime chỉ đọc từ ảnh chụp đang hoạt động trong bộ nhớ.
- Sau lần kích hoạt/tải cấu hình thành công đầu tiên, các đường dẫn mã runtime tiếp tục đọc ảnh chụp đang hoạt động trong bộ nhớ đó cho đến khi một lần tải lại thành công hoán đổi nó.
- Các đường dẫn gửi đi cũng đọc từ ảnh chụp đang hoạt động đó (ví dụ gửi trả lời/luồng Discord và gửi hành động Telegram); chúng không phân giải lại SecretRefs trong mỗi lần gửi.
Ranh giới truy cập của tác nhân
SecretRefs bảo vệ thông tin xác thực khỏi việc được lưu lâu dài trong cấu hình được hỗ trợ và các bề mặt mô hình được tạo, nhưng chúng không phải là ranh giới cách ly tiến trình. Nếu một thông tin xác thực dạng văn bản thuần vẫn còn trên đĩa ở một đường dẫn mà tác nhân có thể đọc, tác nhân có thể vượt qua cơ chế biên tập ở cấp API bằng cách dùng công cụ tệp hoặc shell để kiểm tra tệp đó. Đối với triển khai production nơi các tệp mà tác nhân có thể truy cập nằm trong phạm vi, hãy xem việc di chuyển SecretRef là hoàn tất chỉ khi tất cả điều kiện sau đều đúng:- thông tin xác thực được hỗ trợ dùng SecretRefs thay cho giá trị văn bản thuần
- phần dư văn bản thuần cũ đã được xóa khỏi
openclaw.json,auth-profiles.json,.env, và các tệpmodels.jsonđược tạo openclaw secrets audit --checksạch sau khi di chuyển- mọi thông tin xác thực còn lại không được hỗ trợ hoặc đang luân phiên được bảo vệ bằng cách ly hệ điều hành, cách ly container, hoặc proxy thông tin xác thực bên ngoài
Lọc bề mặt đang hoạt động
SecretRefs chỉ được xác thực trên các bề mặt thực sự đang hoạt động.- Bề mặt đã bật: ref chưa phân giải chặn khởi động/tải lại.
- Bề mặt không hoạt động: ref chưa phân giải không chặn khởi động/tải lại.
- Ref không hoạt động phát ra chẩn đoán không gây lỗi với mã
SECRETS_REF_IGNORED_INACTIVE_SURFACE.
Ví dụ về bề mặt không hoạt động
Ví dụ về bề mặt không hoạt động
- Mục kênh/tài khoản đã tắt.
- Thông tin xác thực kênh cấp cao nhất mà không tài khoản đã bật nào kế thừa.
- Bề mặt công cụ/tính năng đã tắt.
- Khóa dành riêng cho nhà cung cấp tìm kiếm web không được chọn bởi
tools.web.search.provider. Ở chế độ tự động (chưa đặt nhà cung cấp), các khóa được tham chiếu theo thứ tự ưu tiên để tự động phát hiện nhà cung cấp cho đến khi một khóa phân giải được. Sau khi chọn, khóa của nhà cung cấp không được chọn được xem là không hoạt động cho đến khi được chọn. - Vật liệu xác thực SSH sandbox (
agents.defaults.sandbox.ssh.identityData,certificateData,knownHostsData, cộng với ghi đè theo từng tác nhân) chỉ hoạt động khi backend sandbox hiệu lực làsshcho tác nhân mặc định hoặc một tác nhân đã bật. - SecretRefs
gateway.remote.token/gateway.remote.passwordhoạt động nếu một trong các điều kiện sau đúng:gateway.mode=remotegateway.remote.urlđược cấu hìnhgateway.tailscale.modelàservehoặcfunnel- Ở chế độ cục bộ không có các bề mặt từ xa đó:
gateway.remote.tokenhoạt động khi xác thực bằng token có thể thắng và không có token env/auth nào được cấu hình.gateway.remote.passwordchỉ hoạt động khi xác thực bằng mật khẩu có thể thắng và không có mật khẩu env/auth nào được cấu hình.
- SecretRef
gateway.auth.tokenkhông hoạt động cho phân giải xác thực khi khởi động khiOPENCLAW_GATEWAY_TOKENđược đặt, vì đầu vào token env thắng cho runtime đó.
Chẩn đoán bề mặt xác thực Gateway
Khi một SecretRef được cấu hình trêngateway.auth.token, gateway.auth.password, gateway.remote.token, hoặc gateway.remote.password, quá trình khởi động/tải lại Gateway ghi nhật ký trạng thái bề mặt một cách rõ ràng:
active: SecretRef là một phần của bề mặt xác thực hiệu lực và phải phân giải được.inactive: SecretRef bị bỏ qua cho runtime này vì một bề mặt xác thực khác thắng, hoặc vì xác thực từ xa bị tắt/không hoạt động.
SECRETS_GATEWAY_AUTH_SURFACE và bao gồm lý do được chính sách bề mặt đang hoạt động sử dụng, để bạn có thể thấy vì sao một thông tin xác thực được xem là hoạt động hoặc không hoạt động.
Kiểm tra trước tham chiếu khi onboarding
Khi onboarding chạy ở chế độ tương tác và bạn chọn lưu trữ SecretRef, OpenClaw chạy xác thực kiểm tra trước trước khi lưu:- Ref env: xác thực tên biến env và xác nhận có thể thấy một giá trị không rỗng trong lúc thiết lập.
- Ref nhà cung cấp (
filehoặcexec): xác thực lựa chọn nhà cung cấp, phân giảiid, và kiểm tra kiểu giá trị đã phân giải. - Đường dẫn tái sử dụng quickstart: khi
gateway.auth.tokenđã là SecretRef, onboarding phân giải nó trước khi khởi tạo probe/dashboard (đối với refenv,file, vàexec) bằng cùng cổng thất bại nhanh.
Hợp đồng SecretRef
Dùng một hình dạng đối tượng ở mọi nơi:- env
- file
- exec
providerphải khớp^[a-z][a-z0-9_-]{0,63}$idphải khớp^[A-Z][A-Z0-9_]{0,127}$
Cấu hình nhà cung cấp
Định nghĩa nhà cung cấp dướisecrets.providers:
Nhà cung cấp env
Nhà cung cấp env
- Danh sách cho phép tùy chọn qua
allowlist. - Giá trị env bị thiếu/rỗng làm phân giải thất bại.
Nhà cung cấp file
Nhà cung cấp file
- Đọc tệp cục bộ từ
path. mode: "json"kỳ vọng payload đối tượng JSON và phân giảiidnhư con trỏ.mode: "singleValue"kỳ vọng id ref"value"và trả về nội dung tệp.- Đường dẫn phải vượt qua kiểm tra quyền sở hữu/quyền truy cập.
- Ghi chú từ chối an toàn trên Windows: nếu không thể xác minh ACL cho một đường dẫn, quá trình phân giải thất bại. Chỉ với đường dẫn đáng tin cậy, đặt
allowInsecurePath: truetrên nhà cung cấp đó để bỏ qua kiểm tra bảo mật đường dẫn.
Nhà cung cấp exec
Nhà cung cấp exec
- Chạy đường dẫn binary tuyệt đối đã cấu hình, không dùng shell.
- Theo mặc định,
commandphải trỏ đến một tệp thông thường (không phải symlink). - Đặt
allowSymlinkCommand: trueđể cho phép đường dẫn lệnh symlink (ví dụ shim Homebrew). OpenClaw xác thực đường dẫn đích đã phân giải. - Kết hợp
allowSymlinkCommandvớitrustedDirscho đường dẫn của trình quản lý gói (ví dụ["/opt/homebrew"]). - Hỗ trợ timeout, timeout khi không có đầu ra, giới hạn byte đầu ra, danh sách cho phép env, và thư mục tin cậy.
- Ghi chú từ chối an toàn trên Windows: nếu không thể xác minh ACL cho đường dẫn lệnh, quá trình phân giải thất bại. Chỉ với đường dẫn đáng tin cậy, đặt
allowInsecurePath: truetrên nhà cung cấp đó để bỏ qua kiểm tra bảo mật đường dẫn. - Nhà cung cấp exec do Plugin quản lý có thể dùng
pluginIntegrationthay vì sao chépcommand/args. OpenClaw phân giải chi tiết lệnh hiện tại từ manifest Plugin đã cài đặt trong lúc khởi động/tải lại. Nếu Plugin bị tắt, bị gỡ bỏ, không đáng tin cậy, hoặc không còn khai báo tích hợp, SecretRefs đang hoạt động dùng nhà cung cấp đó sẽ bị từ chối an toàn.
Khóa API dựa trên tệp
Không đặt chuỗifile:... trong khối env của cấu hình. Khối env là
nghĩa đen và không ghi đè, nên file:... không được phân giải.
Thay vào đó, hãy dùng SecretRef file trên một trường thông tin xác thực được hỗ trợ:
mode: "singleValue", SecretRef id là "value". Đối với
mode: "json", dùng một con trỏ JSON tuyệt đối như
"/providers/xai/apiKey".
Xem bề mặt thông tin xác thực SecretRef để biết
các trường cấu hình chấp nhận SecretRefs.
Ví dụ tích hợp exec
1Password CLI
1Password CLI
Bitwarden Secrets Manager (`bws`)
Bitwarden Secrets Manager (`bws`)
Dùng một trình bao bọc phân giải khi bạn muốn các id SecretRef ánh xạ tới khóa mục
Bitwarden Secrets Manager. Kho lưu trữ bao gồm
Trình phân giải gom nhóm các id được yêu cầu, chạy
scripts/secrets/openclaw-bws-resolver.mjs; hãy cài đặt hoặc sao chép nó vào một đường dẫn
tuyệt đối đáng tin cậy trên máy chủ chạy Gateway.Yêu cầu:- Bitwarden Secrets Manager CLI (
bws) được cài đặt trên máy chủ Gateway. BWS_ACCESS_TOKENkhả dụng cho dịch vụ Gateway.PATHđược truyền cho trình phân giải, hoặcBWS_BINđược đặt thành đường dẫn nhị phânbwstuyệt đối.BWS_SERVER_URLphải được đặt trong môi trường khi dùng một phiên bản Bitwarden tự lưu trữ.
bws secret list, rồi trả về
các giá trị cho những trường key bí mật khớp. Dùng các khóa đáp ứng hợp đồng id
SecretRef exec, chẳng hạn openclaw/providers/openai/apiKey; các khóa kiểu biến môi trường
có dấu gạch dưới sẽ bị từ chối trước khi trình phân giải chạy. Nếu nhiều hơn
một bí mật Bitwarden hiển thị có cùng khóa được yêu cầu, trình phân giải
báo id đó là mơ hồ thay vì chọn một mục. Sau khi cập nhật cấu hình,
xác minh đường dẫn trình phân giải:HashiCorp Vault CLI
HashiCorp Vault CLI
password-store (`pass`)
password-store (`pass`)
Dùng một trình bao bọc phân giải nhỏ khi bạn muốn các id SecretRef ánh xạ trực tiếp tới
mục Sau đó cấu hình exec provider và trỏ Giữ bí mật ở dòng đầu tiên của mục
pass. Lưu tệp này dưới dạng tệp thực thi trong một đường dẫn tuyệt đối vượt qua
các kiểm tra đường dẫn exec-provider của bạn, ví dụ
/usr/local/bin/openclaw-pass-resolver. Shebang #!/usr/bin/env node
phân giải node từ PATH của tiến trình trình phân giải, vì vậy hãy đưa PATH vào
passEnv. Nếu pass không nằm trên PATH đó, hãy đặt PASS_BIN trong môi trường
cha và cũng đưa nó vào passEnv:apiKey tới đường dẫn mục pass:pass, hoặc tùy chỉnh
trình bao bọc nếu bạn muốn trả về toàn bộ đầu ra pass show. Sau khi
cập nhật cấu hình, xác minh cả kiểm tra tĩnh và đường dẫn trình phân giải exec:sops
sops
Biến môi trường máy chủ MCP
Các biến môi trường máy chủ MCP được cấu hình quaplugins.entries.acpx.config.mcpServers hỗ trợ SecretInput. Điều này giữ khóa API và token khỏi cấu hình văn bản thuần:
${MCP_SERVER_API_KEY} và đối tượng SecretRef được phân giải trong quá trình kích hoạt gateway trước khi tiến trình máy chủ MCP được khởi chạy. Như với các bề mặt SecretRef khác, tham chiếu chưa phân giải chỉ chặn kích hoạt khi Plugin acpx thực sự hoạt động.
Vật liệu xác thực SSH sandbox
Backend sandboxssh lõi cũng hỗ trợ SecretRef cho vật liệu xác thực SSH:
- OpenClaw phân giải các tham chiếu này trong quá trình kích hoạt sandbox, không phân giải lười trong từng lệnh gọi SSH.
- Các giá trị đã phân giải được ghi vào tệp tạm với quyền hạn chế và được dùng trong cấu hình SSH được tạo.
- Nếu backend sandbox hiệu lực không phải là
ssh, các tham chiếu này vẫn không hoạt động và không chặn khởi động.
Bề mặt thông tin xác thực được hỗ trợ
Thông tin xác thực được hỗ trợ và không được hỗ trợ theo chuẩn được liệt kê trong:Thông tin xác thực do runtime cấp phát hoặc xoay vòng và vật liệu làm mới OAuth được cố ý loại trừ khỏi cơ chế phân giải SecretRef chỉ đọc.
Hành vi và thứ tự ưu tiên bắt buộc
- Trường không có tham chiếu: không đổi.
- Trường có tham chiếu: bắt buộc trên các bề mặt đang hoạt động trong quá trình kích hoạt.
- Nếu có cả văn bản thuần và tham chiếu, tham chiếu được ưu tiên trên các đường dẫn ưu tiên được hỗ trợ.
- Sentinel che giấu
__OPENCLAW_REDACTED__được dành riêng cho việc che giấu/khôi phục cấu hình nội bộ và bị từ chối nếu được gửi dưới dạng dữ liệu cấu hình nguyên văn.
SECRETS_REF_OVERRIDES_PLAINTEXT(cảnh báo thời gian chạy)REF_SHADOWED(phát hiện kiểm tra khi thông tin xác thựcauth-profiles.jsonđược ưu tiên hơn tham chiếuopenclaw.json)
serviceAccountRefđược ưu tiên hơnserviceAccountvăn bản thuần.- Giá trị văn bản thuần bị bỏ qua khi tham chiếu cùng cấp được đặt.
Trình kích hoạt kích hoạt
Kích hoạt bí mật chạy khi:- Khởi động (preflight cộng với kích hoạt cuối cùng)
- Đường dẫn áp dụng nóng khi tải lại cấu hình
- Đường dẫn kiểm tra khởi động lại khi tải lại cấu hình
- Tải lại thủ công qua
secrets.reload - Preflight RPC ghi cấu hình Gateway (
config.set/config.apply/config.patch) để kiểm tra khả năng phân giải SecretRef trên bề mặt đang hoạt động trong payload cấu hình được gửi trước khi lưu chỉnh sửa
- Thành công hoán đổi snapshot một cách nguyên tử.
- Lỗi khởi động hủy khởi động gateway.
- Lỗi tải lại thời gian chạy giữ snapshot tốt gần nhất.
- Lỗi preflight write-RPC từ chối cấu hình được gửi và giữ nguyên cả cấu hình trên đĩa lẫn snapshot runtime đang hoạt động.
- Việc cung cấp token kênh rõ ràng cho từng lệnh gọi đến một helper/tool gửi đi không kích hoạt SecretRef; các điểm kích hoạt vẫn là khởi động, tải lại và
secrets.reloadrõ ràng.
Tín hiệu suy giảm và khôi phục
Khi kích hoạt trong lúc tải lại thất bại sau một trạng thái khỏe mạnh, OpenClaw chuyển sang trạng thái bí mật suy giảm. Mã sự kiện hệ thống một lần và mã nhật ký:SECRETS_RELOADER_DEGRADEDSECRETS_RELOADER_RECOVERED
- Suy giảm: runtime giữ snapshot tốt gần nhất.
- Khôi phục: phát ra một lần sau lần kích hoạt thành công tiếp theo.
- Các lỗi lặp lại khi đã suy giảm ghi cảnh báo nhưng không spam sự kiện.
- Khởi động fail-fast không phát sự kiện suy giảm vì runtime chưa từng hoạt động.
Phân giải đường dẫn lệnh
Đường dẫn lệnh có thể chọn tham gia cơ chế phân giải SecretRef được hỗ trợ qua RPC snapshot gateway. Có hai hành vi tổng quát:- Đường dẫn lệnh nghiêm ngặt
- Đường dẫn lệnh chỉ đọc
Ví dụ: các đường dẫn bộ nhớ từ xa của
openclaw memory và openclaw qr --remote khi cần các tham chiếu bí mật chia sẻ từ xa. Chúng đọc từ ảnh chụp nhanh đang hoạt động và thất bại nhanh khi SecretRef bắt buộc không khả dụng.- Việc làm mới ảnh chụp nhanh sau khi xoay vòng bí mật backend được xử lý bởi
openclaw secrets reload. - Phương thức RPC Gateway được các đường dẫn lệnh này sử dụng:
secrets.resolve.
Quy trình kiểm tra và cấu hình
Luồng thao tác mặc định: Đừng xem quá trình di chuyển là hoàn tất cho đến khi lần kiểm tra lại sạch. Nếu kiểm tra vẫn báo cáo các giá trị văn bản thuần được lưu trữ, rủi ro truy cập tác tử vẫn còn ngay cả khi các API runtime trả về giá trị đã được che. Nếu bạn lưu một kế hoạch thay vì áp dụng trongconfigure, hãy áp dụng kế hoạch đã lưu đó
bằng openclaw secrets apply --from <plan-path> trước khi kiểm tra lại.
secrets audit
secrets audit
Các phát hiện bao gồm:
- giá trị văn bản thuần được lưu trữ (
openclaw.json,auth-profiles.json,.env, vàagents/*/agent/models.jsonđược tạo) - phần dư header nhà cung cấp nhạy cảm dạng văn bản thuần trong các mục
models.jsonđược tạo - tham chiếu chưa phân giải
- che khuất theo thứ tự ưu tiên (
auth-profiles.jsonđược ưu tiên hơn các tham chiếu trongopenclaw.json) - phần dư cũ (
auth.json, nhắc nhở OAuth)
- Theo mặc định, kiểm tra bỏ qua các bước kiểm tra khả năng phân giải SecretRef exec để tránh tác dụng phụ của lệnh.
- Dùng
openclaw secrets audit --allow-execđể thực thi các nhà cung cấp exec trong khi kiểm tra.
- Việc phát hiện header nhà cung cấp nhạy cảm dựa trên heuristic theo tên (các tên và đoạn header xác thực/thông tin xác thực phổ biến như
authorization,x-api-key,token,secret,password, vàcredential).
secrets configure
secrets configure
Trình trợ giúp tương tác:
- cấu hình
secrets.providerstrước (env/file/exec, thêm/sửa/xóa) - cho phép bạn chọn các trường có chứa bí mật được hỗ trợ trong
openclaw.jsoncùng vớiauth-profiles.jsoncho một phạm vi tác tử - có thể tạo ánh xạ
auth-profiles.jsonmới trực tiếp trong bộ chọn đích - thu thập chi tiết SecretRef (
source,provider,id) - chạy phân giải preflight
- có thể áp dụng ngay lập tức
- Preflight bỏ qua các bước kiểm tra SecretRef exec trừ khi
--allow-execđược đặt. - Nếu bạn áp dụng trực tiếp từ
configure --applyvà kế hoạch bao gồm các tham chiếu/nhà cung cấp exec, hãy giữ--allow-execđược đặt cho cả bước áp dụng.
openclaw secrets configure --providers-onlyopenclaw secrets configure --skip-provider-setupopenclaw secrets configure --agent <id>
configure:- xóa sạch các thông tin xác thực tĩnh khớp khỏi
auth-profiles.jsoncho các nhà cung cấp được nhắm mục tiêu - xóa sạch các mục
api_keytĩnh cũ khỏiauth.json - xóa sạch các dòng bí mật đã biết khớp khỏi
<config-dir>/.env
secrets apply
secrets apply
Áp dụng một kế hoạch đã lưu:Ghi chú exec:
- dry-run bỏ qua các bước kiểm tra exec trừ khi
--allow-execđược đặt. - chế độ ghi từ chối các kế hoạch chứa SecretRefs/nhà cung cấp exec trừ khi
--allow-execđược đặt.
Chính sách an toàn một chiều
Mô hình an toàn:- preflight phải thành công trước chế độ ghi
- kích hoạt runtime được xác thực trước khi commit
- apply cập nhật tệp bằng cách thay thế tệp nguyên tử và khôi phục best-effort khi thất bại
Ghi chú tương thích xác thực cũ
Đối với thông tin xác thực tĩnh, runtime không còn phụ thuộc vào kho xác thực cũ dạng văn bản thuần.- Nguồn thông tin xác thực runtime là ảnh chụp nhanh trong bộ nhớ đã được phân giải.
- Các mục
api_keytĩnh cũ được xóa sạch khi được phát hiện. - Hành vi tương thích liên quan đến OAuth vẫn riêng biệt.
Ghi chú Web UI
Một số union SecretInput dễ cấu hình trong chế độ trình chỉnh sửa thô hơn là trong chế độ biểu mẫu.Liên quan
- Xác thực — thiết lập xác thực
- CLI: secrets — lệnh CLI
- Biến môi trường — thứ tự ưu tiên môi trường
- Bề mặt thông tin xác thực SecretRef — bề mặt thông tin xác thực
- Hợp đồng kế hoạch áp dụng bí mật — chi tiết hợp đồng kế hoạch
- Bảo mật — tư thế bảo mật