ipeaky

ipeaky 是专为 OpenClaw 生态设计的 API 密钥安全管理技能，旨在解决开发者在多服务集成过程中面临的密钥泄露风险。该工具通过原生配置集成与严格的安全输入机制，构建了一条从密钥采集到存储的全流程防护链路。

核心用法方面，用户通过调用 secure_input_mac.sh 脚本触发 macOS 原生安全对话框（支持隐藏输入），避免密钥在屏幕或聊天记录中暴露。采集后的密钥通过 gateway config.patch 直接写入 openclaw.json 配置文件，并依据预设的 Key Map 自动同步到多个相关技能（如 OpenAI 密钥可同时服务于 whisper-api 和 image-gen）。系统支持对 OpenAI、ElevenLabs、Anthropic、Brave 等主流服务的密钥进行存储、掩码展示（前4位+****）、有效性测试（通过 curl 调用只读 API）及安全删除。

显著优点体现在其架构设计与安全规范上。首先，原生集成 OpenClaw 配置体系，无需额外凭证文件或手动 source 操作，密钥通过 primaryEnv 机制自动注入到声明依赖的技能中，实现零配置 wiring。其次，安全流程严谨：采用 set -euo pipefail 严格模式脚本、禁止在 chat 中 echo 密钥、测试输出强制掩码，且通过 20 项安全测试套件验证。此外，支持跨技能密钥复用（如 ElevenLabs 同时用于 sag 和 talk），减少重复配置。

潜在缺点与局限性不容忽视。平台支持上，安全输入功能仅原生支持 macOS（依赖 osascript），Linux 和 Windows 用户需通过 stdin 手动输入，体验降级且存在终端历史记录风险。存储机制上，密钥以明文形式存放于 openclaw.json，虽依赖文件系统权限隔离，但缺乏额外加密层，在多用户共享环境中存在潜在风险。功能层面，密钥测试需直连外部服务商 API，可能触发网络层面的密钥传输（尽管通过 HTTPS）。

该技能特别适合频繁使用多模态 AI 服务（语音、图像、搜索）的 OpenClaw 深度用户，以及需要在聊天环境中安全处理密钥、避免意外泄露到对话历史的开发者团队。对于注重合规的企业环境，其清晰的密钥流向审计（secure popup → stdout → config）也具备一定吸引力。

使用风险主要集中于配置文件权限管理。任何能够读取 openclaw.json 的技能或进程均可获取明文密钥，因此需确保该文件的访问权限严格限制。此外，测试功能虽仅调用只读 API，但仍存在因网络拦截或 DNS 劫持导致的密钥泄露风险（尽管概率极低）。跨平台用户需注意 stdin 输入方式可能在 shell 历史中留下痕迹，建议使用后立即清理历史记录。