核心用法
brave-api-setup 是一个用于自动化配置 Brave Search API 密钥的 OpenClaw 技能。它通过浏览器工具访问 Brave API Dashboard,提取 API 密钥,并将其直接写入 OpenClaw 配置文件,从而启用 web_search 功能。
标准工作流程:
1. 导航至 Brave API 密钥管理页面 (api-dashboard.search.brave.com/app/keys)
2. 点击显示按钮(眼睛图标)以明文显示密钥
3. 使用 JavaScript evaluate 方法直接从 DOM 提取 API 密钥字符串
4. 调用 Node.js 脚本 apply-api-key.js 将密钥写入配置文件
显著优点
- 防转录错误设计:核心安全机制在于全程避免 LLM 参与密钥的文本生成或转录。通过
browser evaluate直接返回字符串,再通过独立脚本进行文件写入,确保密钥的比特级精确性 - 自动化程度高:用户无需手动复制粘贴,减少人为错误
- 明确的错误处理:针对
missing_brave_api_key错误提供专门解决方案
潜在缺点与局限性
- 依赖外部账户:用户必须预先拥有 Brave Search API 账户并完成登录(Free 计划需信用卡)
- 浏览器状态依赖:要求
openclaw浏览器 profile 处于已登录状态 - Node.js 依赖:需要本地 Node.js 环境运行辅助脚本
- 硬编码选择器风险:
querySelectorAll('td')和文本匹配逻辑可能随 Brave 网站改版而失效 - 无密钥验证步骤:流程中未包含对提取密钥的有效性验证(如 API 调用测试)
适合人群
- 需要为 OpenClaw 启用网页搜索功能的终端用户
- 遇到
missing_brave_api_key配置错误的用户 - 已有 Brave API 账户但希望简化密钥配置流程的技术用户
常规风险
- 浏览器会话安全:使用共享的
openclawprofile 可能存在会话混淆或残留风险 - 密钥暴露窗口:虽然避免了 LLM 转录,但密钥在浏览器 DOM 中明文显示期间仍存在被截屏或内存读取的理论风险
- 配置文件写入权限:脚本需要写入 OpenClaw 配置目录的权限,若权限管理不当可能导致配置被篡改
- 网络钓鱼风险:自动化流程依赖特定 URL,若用户被引导至钓鱼站点存在凭证泄露风险(但技能本身使用硬编码官方域名)