🔐 1password Temp — 1Password CLI 设置与使用
v1.0.0设置并使用 1Password CLI (op)。用于安装 CLI、启用桌面应用集成、登录(单账户或多账户),或通过 op 读取/注入/运行密钥。
0· 50·0 当前·0 累计
by 安全扫描
OpenClaw
可疑
high confidence该技能的目的(帮助使用 1Password CLI)是合理的,但运行时指令需要 tmux 并以未声明或未安全约束的方式捕获终端输出——这种不匹配以及包含密钥的输出可能被捕获和保留的潜在风险令人担忧。
评估建议
该技能基本实现了其声称的功能(帮助运行 1Password CLI),但在安装或使用前需要解决两个问题:(1) 运行时需要 tmux 但技能元数据未声明 tmux 为必需二进制文件——确保 tmux 存在并更新技能的元数据以列出它。(2) 指令会捕获 tmux 窗格输出(capture-pane),其中可能包含密钥;确认代理将如何处理该捕获的文本(必须不记录、传输或不安全地存储)。其他建议:仅在可信机器上从官方 Homebrew 公式安装 CLI;在单用户、安全环境中运行此技能(而非共享或云托管代理,因为捕获的窗格可能会被暴露);并要求技能维护者 (a) 在 required bins 中声明 tmux,(b) 澄清 capture-pane 输出的处理方式(或避免捕获包含密钥的窗格),(c) 明确列出指令依赖的任何环境变量(OPENCLAW_TMUX_SOCKET_DIR、OP_ACCOUNT)。如果维护者无法澄清这些要点,请谨慎使用该技能。...详细分析 ▾
⚠ 用途与能力
该技能声称设置和使用 1Password CLI,并声明了 op 二进制文件和官方 1password-cli 公式的 brew 安装,这与所述目的相符。然而,SKILL.md 要求在新的 tmux 会话中运行所有 op 命令,并引用了 tmux 套接字约定;但注册表元数据未声明 tmux 为必需二进制文件。这一遗漏是不一致的:tmux 对于所描述的工作流程是必要的,但未被列为要求。
⚠ 指令范围
指令告诉代理创建 tmux 套接字、发送交互式登录命令、运行 op whoami/vault list、捕获 tmux 窗格输出(capture-pane -p -J),然后终止会话。capture-pane 可以捕获包含密钥的输出;SKILL.md 未指定该捕获输出的安全处理、存储或传输。指令还指导依赖桌面应用集成的交互式登录自动化(发送密钥),如果代理记录了捕获的窗格或传输了它,可能会泄露敏感输出。文档强调「永远不要将密钥粘贴到日志/聊天中」是好的,但不能防止代理意外捕获或随后传输密钥。
✓ 安装机制
安装规范使用 Homebrew 公式 '1password-cli' 来提供 op 二进制文件。这是在具有 Homebrew 的系统上安装此 CLI 的预期且低风险的安装机制。不存在从任意 URL 下载或归档提取。
ℹ 凭证需求
该技能不请求凭据或声明所需的环境变量,这是合适的,因为预期会有交互式登录。然而,指令引用了 OPENCLAW_TMUX_SOCKET_DIR、TMPDIR 和 OP_ACCOUNT(并建议遵循 'tmux' 技能的套接字约定),但未声明它们。该工作流程需要在 /tmp(或 OPENCLAW_TMUX_SOCKET_DIR)中创建文件系统套接字,并可能与 OP_ACCOUNT 交互——这些环境使用应该被声明或解释。
✓ 持久化与权限
always 为 false,且该技能仅包含指令(无代码文件)。它创建临时的 tmux 会话和套接字文件,然后终止会话;不请求持久存在或系统范围的配置更改。未指定对其他技能配置的修改。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/3
1Password CLI 设置和使用技能的初始版本。引导用户安装和验证 1Password CLI (`op`),并参考官方文档。要求在专用的 tmux 会话中运行所有 `op` 命令以维护安全性和会话状态。概述桌面应用集成和多账户登录的步骤。提供身份验证、密钥访问和故障排除的 CLI 工作流。包含防止泄露密钥和在 tmux 外不当使用的防护措施。
● 可疑
安装命令 点击复制
官方npx clawhub@latest install 1password-temp
镜像加速npx clawhub@latest install 1password-temp --registry https://cn.clawhub-mirror.com
技能文档
按照官方 CLI 入门步骤进行。不要猜测安装命令。
参考资料
references/get-started.md(安装 + 应用集成 + 登录流程)references/cli-examples.md(真实的op示例)
工作流程
- 检查操作系统和 shell。
- 验证 CLI 是否存在:
op --version。 - 确认桌面应用集成已启用(根据入门指南)且应用已解锁。
- 必需:为所有
op命令创建一个新的 tmux 会话(不要在 tmux 外直接调用op)。 - 在 tmux 内登录/授权:
op signin(期待应用提示)。 - 在 tmux 内验证访问权限:
op whoami(在任何密钥读取之前必须成功)。 - 如果有多个账户:使用
--account或OP_ACCOUNT。
必需的 tmux 会话(T-Max)
shell 工具为每个命令使用一个新的 TTY。为避免重新提示和失败,始终在具有新套接字/会话名称的专用 tmux 会话中运行op。示例(请参阅 tmux 技能的套接字约定,不要重复使用旧会话名称):
SOCKET_DIR="${OPENCLAW_TMUX_SOCKET_DIR:-${TMPDIR:-/tmp}/openclaw-tmux-sockets}"
mkdir -p "$SOCKET_DIR"
SOCKET="$SOCKET_DIR/openclaw-op.sock"
SESSION="op-auth-$(date +%Y%m%d-%H%M%S)"
tmux -S "$SOCKET" new -d -s "$SESSION" -n shell
tmux -S "$SOCKET" send-keys -t "$SESSION":0.0 -- "op signin --account my.1password.com" Enter
tmux -S "$SOCKET" send-keys -t "$SESSION":0.0 -- "op whoami" Enter
tmux -S "$SOCKET" send-keys -t "$SESSION":0.0 -- "op vault list" Enter
tmux -S "$SOCKET" capture-pane -p -J -t "$SESSION":0.0 -S -200
tmux -S "$SOCKET" kill-session -t "$SESSION"
防护措施
- 永远不要将密钥粘贴到日志、聊天或代码中。
- 优先使用
op run/op inject而不是将密钥写入磁盘。 - 如果需要无应用集成的登录,请使用
op account add。 - 如果命令返回「account is not signed in」,请在 tmux 内重新运行
op signin并在应用中进行授权。 - 不要在 tmux 外运行
op;如果 tmux 不可用,请停止并询问。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制