skills/garibong-labs/brave-api-setup

brave-api-setup

🔑 Brave搜索API自动化配置专家

OpenClaw生态的Brave Search API自动化配置方案,通过浏览器自动化精准提取密钥并本地写入,避免LLM转录错误,确保搜索功能一键启用。

收藏
7.7k
安装
2.6k
版本
v0.1.2
CLS 安全性认证2026-05-04
点击查看完整报告 >

使用说明

核心用法

brave-api-setup 是专为 OpenClaw 生态设计的自动化配置技能,旨在解决 missing_brave_api_key 错误并启用 web_search 功能。其核心工作流程分为四个步骤:首先通过浏览器导航至 Brave Search API 控制台;随后自动点击密钥展示按钮;接着使用 JavaScript 直接在浏览器环境中提取 API 密钥(避免 LLM 视觉转录错误);最后通过本地 Node.js 脚本将密钥准确写入 OpenClaw 配置文件。

显著优点

该技能的最大亮点在于其防错设计。开发者深刻意识到 LLM 在视觉识别时容易混淆相似字符(如 O 与 0、l 与 1),因此采用浏览器 evaluate 方法直接提取 DOM 中的文本内容,确保密钥传输的比特级准确性。此外,技能具备零依赖特性,仅使用 Node.js 内置模块,无第三方 npm 包引入,极大降低了供应链攻击风险。所有操作均在本地完成,不涉及网络数据传输,API 密钥不会经过云端或第三方服务器。

潜在缺点与局限性

作为 T3 来源的个人开发者作品(Garibong Labs),其长期维护稳定性和企业级支持存在不确定性。功能上,该技能高度依赖前置条件:用户必须已注册 Brave Search API 账户、完成登录且处于免费或付费订阅状态,无法从零开始引导用户创建账户。此外,技能仅针对特定错误场景设计,对于其他类型的 API 配置问题无能为力。环境依赖方面,必须预装 Node.js 运行时,对纯前端用户不够友好。

适合的目标群体

主要面向 OpenClaw 深度用户和开发者群体,特别是需要启用网页搜索功能以扩展 Agent 能力的场景。适合熟悉命令行操作、具备基本 Node.js 环境配置能力的技术用户。对于频繁重置 API 密钥或在多环境部署的开发者,该自动化流程能显著提升配置效率。

使用风险

尽管安全评级为 A 级,但用户仍需注意:技能会直接修改本地配置文件(~/.openclaw/openclaw.json),虽然操作可逆,但建议提前备份现有配置。由于来源为个人开发者,建议在使用前审查 scripts/apply-api-key.js 的源代码。此外,技能执行过程中需要保持浏览器登录状态,若会话过期可能导致流程中断。密钥在控制台输出时仅显示部分片段(前8位+后4位),虽为安全设计,但调试时可能需要额外验证步骤。

安全解读

核心用法

本 Skill 自动化完成 Brave Search API 密钥的配置流程,专为 OpenClaw 的 web_search 功能设计。核心流程包含四步:

1. 导航至密钥页面:使用 browser 工具访问 https://api-dashboard.search.brave.com/app/keys
2. 点击揭示按钮:自动定位并点击 eye 图标显示完整 API key
3. JavaScript 提取密钥:通过 evaluate 执行 DOM 查询,直接获取密钥字符串,避免 LLM 视觉转录时的字符混淆(如 O/0、l/1)
4. 本地配置写入:调用 scripts/apply-api-key.js 将密钥 bit-perfect 写入 ~/.openclaw/openclaw.json

关键设计亮点:密钥全程不经过 LLM 文本生成环节,从页面提取后直接由 Node.js 脚本写入文件,杜绝转录错误。

显著优点

  • 零依赖安全:仅使用 Node.js 内置模块(fs, path),无第三方 npm 包,攻击面极小
  • 隐私合规:不收集用户敏感数据,仅处理用户主动提供的 API key,符合 GDPR 数据最小化原则
  • 格式验证:内置基础校验(BSA 前缀 + 长度 >20),确保密钥有效性
  • 操作透明:所有行为均为本地文件写入,无网络外发、无进程滥用

潜在局限

  • 来源可信度 T3:开发者为韩国独立团队 Garibong Labs(가리봉랩스),非顶级开源基金会或知名企业背书
  • 需预置账号:用户须先完成 Brave Search API 账号注册、Free plan 订阅(需信用卡),并登录 openclaw browser profile
  • 无备份机制:配置文件直接覆盖,建议用户自行备份
  • 验证强度中等:当前仅做前缀和长度检查,非完整正则验证

适合人群

  • OpenClaw 用户需要启用 web_search 功能
  • 遇到 missing_brave_api_key 错误的用户
  • 希望避免手动复制粘贴 API key 时产生转录错误的用户
  • 愿意接受社区项目(T3 来源)且能自行评估风险的进阶用户

常规风险

  • 低风险:来源可信度:虽本次扫描未发现恶意代码,但 T3 级别意味着缺乏大型组织背书,建议关注项目更新和社区反馈
  • 低风险:账号依赖:Brave Search API 的 Free plan 需绑定信用卡,用户需自行管理订阅和用量
  • 极低风险:浏览器自动化:Skill 仅读取官方页面,不执行敏感操作,但需确保 browser profile 安全

安全认证摘要

  • 等级:A(88 分)
  • 扫描结果:六维深度扫描全通过,0 项安全发现
  • 有效期:90 天(至 2026-08-02)
| 维度 | 得分 | 状态 |
|-----|------|------|
| 静态代码分析 | 95 | 无危险函数、无硬编码密钥 |
| 动态行为分析 | 90 | 仅本地文件写入 |
| 依赖审计 | 100 | 零第三方依赖 |
| 网络流量分析 | 95 | 仅访问 Brave 官方页面 |
| 隐私合规检查 | 90 | 不收集敏感数据 |
| 威胁情报 | 85 | T3 来源,无已知恶意模式 |
apiautomationdevopsdevelopment-engineeringbackend

brave-api-setup 内容

scripts文件夹
手动下载zip · 2.8 kB
apply-api-key.jstext/javascript
请选择文件