核心用法
Vincent 提供一套完整的零接触凭证管理流程,专为需要处理敏感信息的 AI 智能体设计。其工作流分为三步:智能体通过 CLI 创建凭证占位符(返回 keyId 和 claimUrl)→ 用户通过专属链接在仪表盘设置真实值 → 智能体调用 secret env 将值写入 .env 文件。关键安全设计:凭据值全程不经过智能体标准输出,也不进入对话上下文,实现真正的"盲写"。
支持四种凭证类型:API_KEY(第三方接口密钥)、SSH_KEY(私钥)、OAUTH_TOKEN、CREDENTIALS(JSON 格式的用户名/密码组合)。其中 CREDENTIALS 支持字段级提取,可将单个 JSON 对象拆分为多个环境变量。
显著优点
- 上下文隔离:凭据值永不进入智能体内存或输出,即使后续对话被日志记录也无泄露风险
- 框架级防护:多数智能体框架(OpenClaw、Claude Code 等)默认禁止读取 .env 文件,形成双层保护
- 原子级权限控制:数据库层实现的"覆盖守卫"机制,仅允许创建该密钥的 API key 修改值,防止跨智能体篡改
- 零配置上手:无需预设环境变量,智能体运行时自动完成 API key 的创建与持久化
- 人机协作友好:claimUrl 机制让用户始终保有凭证所有权,可随时撤销或轮换
潜在局限
- 单点依赖:所有 API 调用强制指向 heyvincent.ai,存在服务商可用性风险
- 网络必需:完全依赖在线服务,离线环境无法使用
- 16KB 限制:单个凭证值大小受限,不适用于大型密钥文件(如完整证书链)
- CLI 版本锁定:必须显式指定
@vincentai/cli@latest,存在版本漂移风险 - re-link 窗口短:恢复令牌仅 10 分钟有效期,紧急场景容错性不足
适合人群
- 使用 AI 智能体开发需要第三方 API 集成的应用开发者
- 对"智能体可见敏感信息"有合规顾虑的企业团队
- 需要多人协作、凭证所有权与使用权分离的场景
- 追求"最小权限原则"的安全敏感型项目
常规风险
- 服务商信任假设:需完全信任 HeyVincent.ai 的服务端安全实现
- 本地文件权限:虽默认创建 0600 权限的 .env 文件,但依赖操作系统正确执行
- 命令注入边缘:--value 参数传入时若未正确转义,可能引发 shell 层面的解析问题
- 持久化路径暴露:元数据中明文声明的凭证存储路径(
~/.openclaw/credentials)可能成为攻击者定向扫描目标 - MIT 许可证:开源协议本身不提供安全担保,生产环境需自行审计