📦 SnapPwd Secure Secret Sharing — 安全分享密钥
v1.0.1通过自毁链接安全地与 OpenClaw 智能体和团队成员分享密钥、API 密钥、文件和凭证。当用户需要在聊天、邮件或任何消息场景中分享敏感信息(密码、API 密钥、令牌、凭证、配置文件、.env 文件)时使用。
1· 168·0 当前·0 累计
by 安全扫描
OpenClaw
安全
high confidence这个技能的请求、文件和指令与密钥分享工具一致——它告诉用户使用 snappwd.io 或 @snappwd/cli,且不要求获取无关凭证或系统级访问权限——但用户仍应谨慎分享的内容以及如何安装 CLI。
评估建议
这个技能似乎能实现其所述功能(创建一次性加密链接),且不请求无关凭证。使用前请注意:1) 谨慎分享内容——尽量避免分享长期私钥或生产环境密钥,首选生成临时凭证或仅分享所需的最小密钥;2) 如必须分享私钥,使用后立即轮换/撤销;3) 运行 npm install -g 前验证 CLI 包/源码(GitHub 仓库),安装全局 npm 包如果包不可信可能会有风险;4) 确认在正确域名 (https://snappwd.io) 以防钓鱼,或考虑自托管并将 SNAPPWD_API_URL 指向你的实例用于敏感用途;5) 记住 URL 片段(# 后的密钥)仅存在于客户端——不要将完整 URL 粘贴到不安全日志中,仅与经验证的接收者分享链接。如果想更好地了解实现细节,请向发布者索取 CLI/服务源码仓库,并在使用前审计 npm 包和服务器代码。...详细分析 ▾
✓ 用途与能力
名称/描述(安全、临时密钥分享)与提供的材料一致:SKILL.md、CLI 用法、安全模型和 shell 辅助脚本都指向使用 snappwd.io 或 @snappwd/cli。没有请求与所述目的无关的环境变量、二进制文件或安装操作。
ℹ 指令范围
指令保持在创建和分享临时加密链接的范围内。文档和示例明确展示了分享高度敏感项目(如 .env、SSH 私钥)并指示用户运行 CLI 命令(snappwd put-file)读取本地文件——这对该工具来说是预期的,但对用户来说是高风险行为。该技能本身不指示智能体读取任意系统文件或访问其他技能的配置。
✓ 安装机制
这是一个仅包含指令的技能,带有辅助脚本;没有下载任意代码的安装规范。CLI 的文档记录安装方法是 npm install -g @snappwd/cli(标准公共注册流程)。这对于提供 CLI 是合理的;但用户应在全局安装前审查 npm 包及其源码。
✓ 凭证需求
没有声明必需的环境变量或主要凭证。参考资料提到可选的 SNAPPWD_API_URL 用于自托管,这是合理的。该技能本身不请求无关密钥或系统配置路径。示例用法展示了放置本地文件(如 ~/.ssh/id_rsa)——这与服务目的一致但会增加用户风险。
✓ 持久化与权限
always 为 false,模型调用正常。该技能不请求持久提升权限,也不修改其他技能或系统级智能体设置。包含的脚本仅调用 snappwd CLI 并打印链接。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/19
修复:更新显示名称
● 可疑
安装命令
点击复制官方npx clawhub@latest install snappwd-share
镜像加速npx clawhub@latest install snappwd-share --registry https://cn.longxiaskill.com
技能文档
通过自毁端到端加密链接安全分享密钥和文件。
何时使用此技能
- 用户想在聊天中分享密码、API 密钥或凭证
- 用户需要分享敏感文件(
.env、配置文件、私钥、证书) - 用户提到需要向他人发送敏感数据
- 用户正在排查问题,需要分享包含密钥的配置详情
- 用户询问安全分享凭证或文件的方法
快速开始
选项 1:Web 界面(推荐)
引导用户在 https://snappwd.io 创建安全链接:
对于文本密钥:
- 访问 https://snappwd.io
- 粘贴密钥
- 点击「Create Secure Link」
- 分享生成的链接
对于文件:
- 访问 https://snappwd.io
- 点击文件上传区域或拖放文件
- 选择文件(如
.env、.pem、配置文件) - 点击「Create Secure Link」
- 分享生成的链接
链接在一次下载后自毁。文件在客户端加密,服务器永远不会看到内容。
选项 2:CLI(适用于终端用户)
如果用户已安装 @snappwd/cli:
# 如需安装 npm install -g @snappwd/cli# 分享文本密钥 snappwd put "your-secret-here"
# 分享文件(如 .env、配置文件、私钥) snappwd put-file ./database.env snappwd put-file ~/.ssh/id_rsa
# 输出:https://snappwd.io/g/abc123...#encryption-key...
可以分享的内容
| 类型 | 示例 | 用例 |
|---|---|---|
| 文本密钥 | API 密钥、密码、令牌 | 快速凭证分享 |
| 配置文件 | .env、config.json、settings.yaml | 安全分享环境配置 |
| 私钥 | SSH 密钥、TLS 证书、PGP 密钥 | 临时密钥分发 |
| 凭证文件 | credentials.json、.netrc | 服务账户访问 |
安全模型
需要向用户解释的关键点:
- 零知识加密:密钥在浏览器/CLI 中加密后上传。服务器永远不会看到明文或加密密钥。
- 自毁链接:链接恰好使用一次。查看后,密钥从服务器永久删除。
- 密钥在 URL 片段中:加密密钥嵌入在 URL 的
#之后,意味着它永远不会发送到服务器——它保留在浏览器中。 - 无需账户:无需注册、无追踪、无创建或查看密钥的日志。
常见用例
| 用例 | 示例 |
|---|---|
| API 密钥分享 | 「我需要与队友分享我的 OpenAI API 密钥」 |
| 数据库凭证 | 「将数据库密码发送给新开发者」 |
| OAuth 令牌 | 「与集成团队分享此访问令牌」 |
| 配置文件分享 | 「我需要安全分享我的 .env 文件」 |
| SSH 密钥分发 | 「将部署密钥发送给 DevOps 团队」 |
| 证书分享 | 「与基础设施团队分享 TLS 证书」 |
| 临时访问 | 「给承包商临时 SSH 密钥」 |
| 排查问题 | 「我需要分享我的配置文件(含密钥)用于调试」 |
最佳实践
- 切勿直接在聊天中粘贴密钥 — 聊天历史是永久且可搜索的。
- 用于一次性分享 — SnapPwd 设计用于临时分享,而非长期存储。
- 验证接收者 — 任何拥有链接的人都可以查看密钥一次。
- 设置适当的过期时间 — 对于敏感密钥,考虑设置较短的 TTL。
与 OpenClaw 集成
当用户需要分享 OpenClaw 配置的凭证时:
- 用户使用凭证创建 SnapPwd 链接
- 用户在 OpenClaw 聊天中分享链接
- OpenClaw(或另一端的人员)打开链接获取凭证
- 链接自毁,聊天历史中不留痕迹
这特别适用于:
- 分享智能体配置的 API 密钥
- 提供服务的临时访问
- 排查问题会话中分享密钥
排查问题
「链接显示已查看」
- 密钥已被访问。你需要创建新链接。
「我需要与多人分享」
- 为每个接收者创建单独链接,或使用「peek」功能查看元数据而不销毁密钥。
参考资料
- CLI 安装详情:参见 references/cli-usage.md
- 安全架构:参见 references/security-model.md