核心用法
rbw 是 Bitwarden 的非官方 Rust 实现 CLI 工具,本 Skill 通过封装 rbw 命令实现密码库的查询、添加、同步等操作。主要流程:
1. 首次配置:设置邮箱、可选自定义 Vault 地址(支持自托管 Vaultwarden),执行 rbw login 完成主密码+2FA 认证
2. 解锁会话:rbw unlock 将主密码解密后的会话密钥缓存到本地 agent,避免重复输入
3. 日常操作:rbw list/get/search/add/sync 管理密码项,支持 JSON 格式导出完整字段
显著优点
- 安全性强:端到端加密,服务端仅存储密文;主密码从未离开本地;会话密钥采用内存安全缓存
- 自托管友好:原生支持 Vaultwarden,数据主权完全可控
- 开源透明:rbw 及本 Skill 均为开源,可审计
- 无浏览器依赖:纯 CLI 工作流,适合服务器/SSH 环境
潜在缺点与局限
- 交互复杂性:解锁/添加时可能触发 pinentry 密码输入对话框,无图形环境需配置
pinentry-curses - 会话管理:缓存的会话密钥若被窃取可导致库解密(虽有时效限制)
- 功能边界:相比官方客户端,缺少生物识别、安全笔记附件管理等功能
- 社区维护:非 Bitwarden 官方项目,更新节奏依赖社区
适合人群
- 技术用户、开发者、DevOps 工程师
- 需要服务器/无图形环境密码管理的场景
- 重视数据主权、倾向自托管 Vaultwarden 的隐私敏感用户
常规风险
| 风险点 | 说明 | 缓解建议 |
|--------|------|----------|
| 会话密钥泄露 | 解锁后密钥驻留内存/代理,进程被 dump 可能暴露 | 及时 `rbw lock`,缩短会话超时 |
| 主密码输入截获 | pinentry 环节存在按键记录风险 | 确保终端环境可信,优先使用 TTY |
| 配置凭证残留 | `rbw config` 存储邮箱、URL 等元数据 | 文件权限 600,全盘加密 |
| 自托管实例安全 | Vaultwarden 配置不当导致服务端漏洞 | 及时更新、HTTPS 强制、访问控制 |