核心用法
ipeaky 是 OpenClaw 生态的原生密钥管理技能,解决 CLI 场景下 API 密钥输入的安全难题。其核心设计采用「零暴露流水线」:macOS 用户通过 osascript 触发系统级安全弹窗输入密钥,密钥经 stdout 管道直接写入 openclaw.json,全程不经过聊天上下文。
使用流程极为简洁:
1. 存储密钥:执行 bash store_key_v3.sh "服务名" "配置路径1" ["路径2"...],弹窗采集 → 自动多路径写入 → 重启 gateway 生效
2. 查看密钥:通过 gateway config.get 读取,仅展示前 4 位掩码
3. 测试连通:内置 curl 模板验证 OpenAI/ElevenLabs/Anthropic/Brave 等主流服务
4. 删除密钥:config.patch 置空即可
关键创新在于「primaryEnv 自动绑定」—— 技能声明 primaryEnv: OPENAI_API_KEY 即可自动读取配置,无需用户手动 export。
显著优点
- 零暴露架构:v3 版本实现「agent 永不看见密钥」,从输入到存储完全隔离于对话层
- 原生生态集成:直接操作 OpenClaw 配置,非外部保险库,减少系统依赖
- 多服务覆盖:内置 8 条标准配置路径映射,支持自定义技能与任意环境变量
- 即时生效:config.patch 触发 gateway 热重载,无需手动重启
- 跨密钥复用:智能识别 OpenAI、ElevenLabs 等复用场景,一次存储多技能共享
潜在局限
- 平台锁定:安全弹窗依赖 macOS
osascript,Linux/Windows 仅支持 stdin 管道,体验降级 - 单点存储:密钥集中存放于
openclaw.json,虽便利但增加文件级泄露风险 - 无加密静态存储:文档未提及配置文件加密,依赖操作系统级文件权限保护
- 误操作风险:
reason字段或脚本参数中若意外包含密钥值,将直接暴露于日志 - 多用户场景缺失:未设计团队共享或权限分级机制
适合人群
- 个人开发者:追求效率、不愿折腾 HashiCorp Vault 的 OpenClaw 用户
- macOS 主力用户:能充分利用安全弹窗优势的核心场景
- 多 AI 服务使用者:同时调用 OpenAI、Anthropic、ElevenLabs 等,厌烦重复配置
- 安全意识中等用户:理解「不粘贴密钥到聊天」原则,但不需要企业级审计
常规风险
- 剪贴板残留:v2 遗留方法中密钥曾经过 stdout,可能被终端历史记录捕获
- 脚本注入:
store_key_v3.sh接收变量参数,若路径构造不当存在命令注入可能 - 配置覆盖:错误的
config.patch可能擦除其他技能配置,建议先 get 后 patch - 网络测试泄露:curl 测试时若未加
-s或重定向不当,可能将密钥带入错误输出