1Password CLI Skill für OpenClaw

OpenClaw 1Password CLI Skill Übersicht

Der 1Password CLI Skill verbindet OpenClaw über die offizielle 1Password CLI (op) mit Ihren 1Password-Tresoren. Nach der Installation kann Ihr OpenClaw-Agent Geheimnisse lesen, Zugangsdaten in Konfigurationsdateien injizieren und Prozesse mit Geheimnissen als Umgebungsvariablen ausführen — alles durch Befehle in natürlicher Sprache. Kein Kopieren und Einfügen von Token aus der 1Password-App mehr.

Geheimnisverwaltung ist ein kritischer Teil jedes Entwicklungsworkflows. Der OpenClaw 1Password Skill eliminiert die Notwendigkeit, API-Schlüssel, Datenbank-Passwörter oder Service-Token in Klartext-Konfigurationsdateien zu speichern. Stattdessen bitten Sie OpenClaw, genau das zu holen, was Sie brauchen, und der Agent ruft es sicher aus Ihrem Tresor zur Laufzeit ab.

Typischer Workflow:

1. Bitten Sie OpenClaw, Ihre Datenbank-Zugangsdaten in die .env-Datei zu injizieren.
2. Der Agent führt op inject aus, um Geheimnis-Referenzen durch tatsächliche Werte zu ersetzen.
3. Zugangsdaten sind für Ihre Anwendung verfügbar — nie im Klartext auf die Festplatte geschrieben.

Dieser Skill erzwingt einen tmux-basierten Workflow für alle op-Befehle, der persistente Authentifizierungssitzungen sicherstellt und TTY-Fehler während automatisierter Operationen verhindert. Er unterstützt sowohl Desktop-App-Integration (biometrische Entsperrung) als auch Service-Account-Token für CI/CD-Pipelines.

Voraussetzungen für den 1Password CLI Skill

Bevor Sie den 1Password CLI Skill installieren, stellen Sie sicher, dass Sie Folgendes haben:

• OpenClaw installiert und laufend (v1.0+)
• 1Password CLI (op) installiert — offizielle Installationsanleitung
• Ein 1Password-Konto (Einzel, Familie, Team oder Business)
• tmux installiert für zuverlässige CLI-Sitzungen
• clawhub CLI installiert für Skill-Verwaltung — mit clawhub installieren

Überprüfen Sie Ihr Setup:

# OpenClaw-Version prüfen
openclaw --version

# 1Password CLI-Version prüfen
op --version

# Prüfen, ob tmux verfügbar ist
tmux -V

# 1Password-Authentifizierungsstatus prüfen
op whoami

1Password CLI Skill installieren

Installieren Sie den 1Password CLI Skill mit einem einzigen Befehl:

npx clawhub@latest install 1password

Zur Überprüfung der Installation:

clawhub list

Sie sollten 1password in der Liste der installierten Skills sehen. Der Skill wird im offiziellen OpenClaw Skills-Repository gepflegt und auf ClawHub veröffentlicht.

1Password CLI Skill Konfiguration

Der Skill erfordert Authentifizierung mit Ihrem 1Password-Konto. Es gibt drei Methoden je nach Umgebung.

Methode 1: Desktop-App-Integration (Empfohlen für Entwicklung)

Aktivieren Sie die biometrische Entsperrung, damit sich die CLI über die 1Password Desktop-App authentifiziert:

# Desktop-App-Integration aktivieren
op signin

Genehmigen Sie bei Aufforderung die Anmeldeanfrage in der 1Password Desktop-App. Diese Methode verwendet biometrische Verifizierung (Touch ID, Windows Hello) und benötigt keine langlebigen Token.

Methode 2: Service-Account-Token (Empfohlen für CI/CD)

# Service-Account-Token setzen
export OP_SERVICE_ACCOUNT_TOKEN=ops_your-service-account-token

Service-Accounts bieten eingeschränkten, nicht-interaktiven Zugriff auf bestimmte Tresore. Erstellen Sie einen unter my.1password.com → Developer → Service Accounts.

Methode 3: Connect-Server (Für selbst gehostete Infrastruktur)

# Connect-Server-Zugangsdaten setzen
export OP_CONNECT_HOST=https://your-connect-server:8080
export OP_CONNECT_TOKEN=your-connect-token

Wichtige Umgebungsvariablen

| Variable | Zweck | |----------|-------| | OP_SERVICE_ACCOUNT_TOKEN | Mit Service-Account authentifizieren | | OP_CONNECT_HOST | Connect-Server-URL | | OP_CONNECT_TOKEN | Connect-Server-Zugriffstoken | | OP_ACCOUNT | Standardkonto für Multi-Account-Setups | | OP_BIOMETRIC_UNLOCK_ENABLED | Desktop-App-Integration umschalten |

Wichtig: Kodieren Sie Token niemals direkt in Konfigurationsdateien. Verwenden Sie Umgebungsvariablen oder injizieren Sie sie über den Secret-Store Ihrer CI/CD-Plattform. Konsultieren Sie die Sicherheits-Checkliste für weitere Sicherheitshinweise.

1Password CLI Skill Anwendungsbeispiele

1. Geheimnis zur Laufzeit lesen

Sie: „Hole den Stripe API-Schlüssel aus dem Production-Tresor."

Der Agent führt op read "op://Production/Stripe API/credential" aus und gibt den Geheimniswert zurück. Der Schlüssel ist sofort verfügbar, ohne in einer Datei gespeichert zu werden.

2. Geheimnisse in eine Konfigurationsdatei injizieren

Sie: „Injiziere alle Geheimnisse in meine .env.template-Datei und speichere sie als .env."

Der Agent verwendet op inject -i .env.template -o .env, um Geheimnis-Referenzen wie op://Vault/Item/field durch tatsächliche Werte zu ersetzen. Die Vorlage kann sicher committed werden; die Ausgabedatei enthält echte Zugangsdaten.

3. Prozess mit injizierten Geheimnissen ausführen

Sie: „Führe das Datenbank-Migrationsskript mit der Produktions-Datenbank-URL aus 1Password aus."

Der Agent führt op run --env-file .env -- npm run migrate aus und injiziert Geheimnisse als Umgebungsvariablen für die Dauer des Prozesses. Nach Beendigung des Prozesses sind die Geheimnisse nicht mehr im Speicher.

4. Tresor-Einträge auflisten und suchen

Sie: „Zeige mir alle API-Schlüssel im Development-Tresor."

Der Agent führt op item list --vault Development --tags api-key aus und gibt eine formatierte Liste übereinstimmender Einträge mit Namen, Kategorien und letztem Änderungsdatum zurück.

Sicherheit und Best Practices

Der 1Password Skill greift auf Ihre sensibelsten Zugangsdaten zu. Befolgen Sie diese Richtlinien für mehr Sicherheit:

• Minimale Berechtigungen verwenden. Gewähren Sie Zugriff auf Tresor-Ebene statt vollständigen Kontozugriff. Service-Accounts sollten nur die benötigten Tresore sehen können.
• op run und op inject gegenüber op read bevorzugen. Diese Befehle halten Geheimnisse kurzlebig — sie werden nie auf die Festplatte geschrieben oder im Shell-Verlauf gespeichert.
• Geheimnisse nie in Logs, Chat oder Code einfügen. Der Skill ist darauf ausgelegt, Geheimnisse direkt in Prozesse zu injizieren und Zwischenablage sowie Terminalausgabe zu umgehen.
• Service-Accounts für Automatisierung verwenden. Vermeiden Sie persönliche Konten in CI/CD-Pipelines. Service-Accounts bieten eingeschränkten, auditierbaren Zugriff.
• Service-Account-Token regelmäßig rotieren. Setzen Sie Ablaufdaten beim Erstellen von Token und rotieren Sie mindestens alle 90 Tage.
• op-Befehle in tmux ausführen. Der Skill erzwingt tmux-basierte Workflows, um TTY-Fehler und Sitzungsabbrüche bei langen Operationen zu verhindern.

Häufige 1Password CLI Skill Fehler beheben

„account is not signed in"

Ihre 1Password-Sitzung ist abgelaufen oder wurde nie aufgebaut.

# Über Desktop-App erneut authentifizieren
op signin

# Sitzung überprüfen
op whoami

Wenn Sie einen Service-Account verwenden, überprüfen Sie, ob OP_SERVICE_ACCOUNT_TOKEN korrekt gesetzt ist und nicht abgelaufen ist.

„could not find item"

Der angeforderte Eintrag existiert nicht im angegebenen Tresor, oder Ihrem Konto fehlt der Zugriff.

1. Überprüfen Sie den Eintragsnamen und Tresor mit op item list --vault "Tresorname".
2. Bestätigen Sie, dass Ihr Konto Lesezugriff auf den Tresor hat.
3. Bei Service-Accounts bestätigen Sie, dass der Tresor in der Zugriffsrichtlinie des Kontos enthalten ist.

„tmux not found" oder TTY-Fehler

Die 1Password CLI benötigt ein TTY für interaktive Anmeldung. Der Skill verwendet tmux zur Aufrechterhaltung persistenter Sitzungen.

# tmux installieren
# macOS
brew install tmux

# Ubuntu / Debian
sudo apt install tmux

Nach der Installation von tmux starten Sie eine neue Sitzung mit tmux new -s op-session, bevor Sie op signin ausführen.