OpenClaw
Sicherheit & SecretsEmpfohlen

Bitwarden Skill für OpenClaw

Secrets über Bitwarden/Vaultwarden CLI und API abrufen.

Zuletzt aktualisiert: 2026-03-11

Schnellinstallation

$ npx clawhub@latest install bitwarden

Hauptfunktionen

Passwörter und Geheimnisse aus Ihrem Bitwarden-Vault abrufen
Sowohl Bitwarden Cloud als auch selbstgehostetes Vaultwarden unterstützen
Vault-Einträge nach Name, Ordner oder Sammlung durchsuchen
Sichere Passwörter und Passphrasen bei Bedarf generieren
Auf Notizen, benutzerdefinierte Felder und TOTP-Codes zugreifen
Sitzungstoken kurzlebig halten für Sicherheit

OpenClaw Bitwarden Skill — Überblick

Der Bitwarden Skill verbindet OpenClaw über die offizielle Bitwarden CLI (bw) mit Ihrem Bitwarden- oder Vaultwarden-Vault. Nach der Installation kann Ihr OpenClaw-Agent Passwörter, API-Schlüssel, Service-Token und andere Geheimnisse bei Bedarf abrufen — in natürlicher Sprache statt durch Navigation in der Vault-UI.

Dieser Skill ist ideal für selbstgehostete Teams und Entwickler, die Service-Anmeldedaten in Bitwarden speichern und während der Entwicklung schnellen, programmatischen Zugriff benötigen. Ob Sie auf einen Staging-Server deployen, einen neuen Service konfigurieren oder API-Schlüssel rotieren — der Bitwarden Skill eliminiert den Kontextwechsel zwischen Terminal und Passwortmanager.

Der OpenClaw Bitwarden Skill behandelt Sicherheit als erstklassige Priorität. Sitzungstoken sind standardmäßig kurzlebig, Vault-Inhalte werden nie auf der Festplatte gecacht, und jeder Abruf wird protokolliert, um vollständige Audit-Trail-Sichtbarkeit zu gewährleisten.

Typischer Workflow:

  1. Fragen Sie OpenClaw nach einer bestimmten Anmeldedaten (z.B. „Hole das Staging-Datenbankpasswort").
  2. Der Agent authentifiziert sich bei Ihrem Bitwarden-Vault und sucht den Eintrag.
  3. Das Geheimnis wird direkt in Ihrer Sitzung zurückgegeben — kein Browser- oder App-Wechsel nötig.

Voraussetzungen für den Bitwarden Skill

Bevor Sie den Bitwarden Skill installieren, stellen Sie sicher, dass Sie haben:

  • OpenClaw installiert und laufend (v1.0+)
  • Bitwarden CLI (bw) installiert — offizielle Installationsanleitung
  • Ein Bitwarden-Konto (Cloud oder selbstgehostete Vaultwarden-Instanz)
  • clawhub CLI installiert für Skill-Management

Überprüfen Sie Ihre Einrichtung:

bash
# OpenClaw-Version prüfen
openclaw --version

# Bitwarden CLI Version prüfen
bw --version

# Login-Status prüfen
bw status

Für selbstgehostete Vaultwarden-Benutzer konfigurieren Sie zuerst Ihre Server-URL:

bash
bw config server https://vault.yourdomain.com

Bitwarden Skill installieren

Installieren Sie den Bitwarden Skill mit einem einzigen Befehl:

bash
npx clawhub@latest install bitwarden

Installation überprüfen:

bash
clawhub list

Sie sollten bitwarden in der Liste der installierten Skills sehen.

Bitwarden Skill Konfiguration

Der Bitwarden Skill erfordert Authentifizierung mit Ihrem Vault. Es gibt zwei Ansätze je nach Anwendungsfall.

Interaktiver Login

Für persönliche Entwicklungsnutzung, melden Sie sich interaktiv an:

bash
# Bei Bitwarden Cloud anmelden
bw login

# Oder bei einer selbstgehosteten Vaultwarden-Instanz anmelden
bw login --sso

Nach dem Login entsperren Sie den Vault, um eine Sitzung zu erstellen:

bash
export BW_SESSION=$(bw unlock --raw)

API-Schlüssel-Authentifizierung

Für automatisierte Workflows und CI/CD-Pipelines verwenden Sie API-Schlüssel-Authentifizierung:

bash
export BW_CLIENTID=your_client_id
export BW_CLIENTSECRET=your_client_secret
bw login --apikey
export BW_SESSION=$(bw unlock --raw)

Generieren Sie Ihren API-Schlüssel unter vault.bitwarden.com/#/settings/security/security-keys.

Umgebungsvariablen

| Variable | Erforderlich | Zweck | |----------|-------------|-------| | BW_SESSION | Ja | Aktiver Sitzungstoken für Vault-Zugriff | | BW_CLIENTID | Für API-Auth | Bitwarden API Client-ID | | BW_CLIENTSECRET | Für API-Auth | Bitwarden API Client-Geheimnis |

Wichtig: Hardcoden Sie niemals Sitzungstoken oder API-Anmeldedaten in Konfigurationsdateien. Verwenden Sie Umgebungsvariablen und halten Sie Sitzungen kurzlebig. Sperren Sie Ihren Vault, wenn Sie ihn nicht aktiv nutzen, mit bw lock.

Bitwarden Skill Verwendungsbeispiele

1. Ein bestimmtes Geheimnis abrufen

Sie: „Hole den AWS-Zugriffsschlüssel aus meinem Bitwarden-Vault."

Der Agent durchsucht Ihren Vault nach Einträgen, die mit „AWS access key" übereinstimmen, ruft die Anmeldedaten ab und gibt die Felder für Benutzername und Passwort zurück. Bei mehreren Treffern wird eine Auswahlliste angezeigt.

2. Ein sicheres Passwort generieren

Sie: „Generiere ein 32-Zeichen-Passwort mit Sonderzeichen und speichere es als 'New API Token' im DevOps-Ordner."

Der Agent verwendet bw generate, um ein kryptographisch sicheres Passwort zu erstellen, und legt dann einen neuen Vault-Eintrag im angegebenen Ordner an.

bash
bw generate --length 32 --special --uppercase --lowercase --number

3. Vault-Einträge suchen und auflisten

Sie: „Liste alle Anmeldedaten in der Sammlung 'Production' auf."

Der Agent fragt Ihren Vault nach Sammlungsname ab und gibt eine Zusammenfassung aller Einträge zurück — mit Namen, Benutzernamen und Datum der letzten Änderung, ohne tatsächliche Passwörter preiszugeben, es sei denn, Sie fordern dies ausdrücklich an.

4. TOTP-Codes abrufen

Sie: „Hole den Zwei-Faktor-Code für mein GitHub-Konto."

Der Agent ruft den TOTP-Seed aus Ihrem Vault ab und generiert den aktuellen 6-stelligen Code mit bw get totp github. Nützlich, wenn Sie MFA-Codes benötigen, ohne zu einer mobilen Authenticator-App zu wechseln.

Sicherheit und Best Practices

Der Bitwarden Skill greift auf Ihre sensibelsten Anmeldedaten zu. Befolgen Sie diese Richtlinien strikt:

  • Sitzungen kurzlebig halten. Sperren Sie Ihren Vault sofort nach dem Abrufen von Geheimnissen mit bw lock. Vermeiden Sie es, BW_SESSION länger als nötig aktiv zu halten.
  • Niemals den gesamten Vault exportieren. Der Skill ruft einzelne Einträge bei Bedarf ab. Vermeiden Sie Befehle wie bw export, die alle Anmeldedaten ausgeben.
  • Sammlungen für Zugriffskontrolle nutzen. Organisieren Sie Geheimnisse in Sammlungen und beschränken Sie, auf welche Sammlungen der Agent zugreifen kann. Dies folgt dem Prinzip der minimalen Berechtigung.
  • Zwei-Faktor-Authentifizierung aktivieren. Schützen Sie Ihr Bitwarden-Konto mit TOTP, FIDO2 oder Hardware-Schlüssel-Authentifizierung.
  • Zugriffsprotkolle prüfen. Überprüfen Sie regelmäßig die Bitwarden-Ereignisprotokolle, um nachzuverfolgen, welche Einträge wann abgerufen wurden.
  • Für Automatisierung Bitwarden Secrets Manager bevorzugen. Für Produktions-CI/CD-Workflows empfiehlt sich Bitwarden Secrets Manager, der Maschinen-Identitäts-Zugriffstoken statt Benutzeranmeldedaten bereitstellt.

Für umfassenderes Geheimnis-Scanning und Leak-Prävention kombinieren Sie diesen Skill mit ggshield Scanner, um versehentlich committete Geheimnisse zu erkennen.

Häufige Fehler beheben

"Vault is locked"

Ihre Sitzung ist abgelaufen oder wurde nie gestartet.

bash
# Vault entsperren und Sitzungstoken exportieren
export BW_SESSION=$(bw unlock --raw)

Wenn Sie überhaupt nicht angemeldet sind, führen Sie zuerst bw login aus.

"Not logged in"

Sie müssen sich authentifizieren, bevor Sie entsperren:

bash
# Bei Bitwarden anmelden
bw login your@email.com

# Dann entsperren
export BW_SESSION=$(bw unlock --raw)

"No items found matching the search term"

Die Suchanfrage hat keine Vault-Einträge gefunden. Versuchen Sie:

  • Einen breiteren Suchbegriff zu verwenden
  • Den Eintragnamen in der Vault-UI zu überprüfen
  • Den Vault mit bw sync zu synchronisieren, um die neuesten Änderungen abzurufen

Sie: „Suche nach Einträgen, die 'database' in einem beliebigen Feld enthalten."

Häufige Fragen

Ja, bei verantwortungsvoller Nutzung. Der Skill ruft einzelne Geheimnisse bei Bedarf ab und schreibt sie nicht auf die Festplatte. Sitzungstoken sind standardmäßig kurzlebig, und Sie können den Vault sofort nach dem Abruf sperren. Für Produktionsumgebungen empfehlen wir die Verwendung von Maschinen-Identitäts-Token von [Bitwarden Secrets Manager](https://bitwarden.com/products/secrets-manager/) statt persönlichem Vault-Zugriff. Überprüfen Sie immer die [Sicherheits-Checkliste](/skills#safety), bevor Sie einen Geheimnismanager mit einem KI-Agenten verbinden.

Ja. Die Bitwarden CLI ist vollständig kompatibel mit [Vaultwarden](https://github.com/dani-garcia/vaultwarden) (ehemals bitwarden_rs). Konfigurieren Sie Ihre Server-URL mit `bw config server https://vault.yourdomain.com` vor dem Login. Alle Skill-Funktionen — Suche, Abruf, Generierung, TOTP — funktionieren mit Vaultwarden identisch. Für Teams mit selbstgehosteter Infrastruktur kann dieser Skill mit dem [1Password Skill](/skills/1password) als Alternative kombiniert werden.

Beide Skills bieten Geheimnisverwaltung über ihre jeweiligen CLIs. Der Bitwarden Skill verwendet die `bw` CLI und unterstützt sowohl Bitwarden Cloud als auch selbstgehostete Vaultwarden-Instanzen, was ihn zur besseren Wahl für Teams macht, die Open-Source-Infrastruktur bevorzugen. Der [1Password Skill](/skills/1password) verwendet die `op` CLI und bietet tiefere Integration mit 1Passwords Service-Konten. Wählen Sie basierend darauf, welchen Passwortmanager Ihr Team bereits verwendet.

Verwandte Skills

1Password CLI
Empfohlen

Secrets sicher über 1Password CLI (op) abrufen.

Anleitung ansehen
GitGuardian ggshield
Empfohlen

Repositories auf hartcodierte Secrets scannen (500+ Secret-Typen).

Anleitung ansehen
Guardrails
Empfohlen

Sicherheits-Guardrails für Tool-Nutzung und riskante Aktionen anwenden.

Auf ClawHub installierenZurück zum Skills-Verzeichnis