Skill de 1Password CLI para OpenClaw

Descripción general del skill de 1Password CLI para OpenClaw

El skill de 1Password CLI conecta OpenClaw a tus bóvedas de 1Password a través del 1Password CLI (op) oficial. Una vez instalado, tu agente OpenClaw puede leer secretos, inyectar credenciales en archivos de configuración y ejecutar procesos con secretos como variables de entorno — todo mediante comandos en lenguaje natural. No más copiar y pegar tokens desde la aplicación de 1Password.

La gestión de secretos es una parte crítica de cualquier flujo de trabajo de desarrollo. El skill de 1Password para OpenClaw elimina la necesidad de almacenar claves API, contraseñas de bases de datos o tokens de servicio en archivos de configuración en texto plano. En su lugar, le pides a OpenClaw que obtenga exactamente lo que necesitas, y el agente lo recupera de forma segura de tu bóveda en tiempo de ejecución.

Flujo de trabajo típico:

1. Pide a OpenClaw que inyecte las credenciales de tu base de datos en el archivo .env.
2. El agente ejecuta op inject para reemplazar las referencias de secretos con valores reales.
3. Las credenciales están disponibles para tu aplicación — nunca escritas en disco en texto plano.

Este skill aplica un flujo de trabajo basado en tmux para todos los comandos op, asegurando sesiones de autenticación persistentes y previniendo fallos de TTY durante operaciones automatizadas. Soporta tanto la integración con la app de escritorio (desbloqueo biométrico) como tokens de cuentas de servicio para pipelines CI/CD.

Requisitos previos para el skill de 1Password CLI

Antes de instalar el skill de 1Password CLI, asegúrate de tener:

• OpenClaw instalado y en ejecución (v1.0+)
• 1Password CLI (op) instalado — guía oficial de instalación
• Una cuenta de 1Password (individual, familiar, equipo o empresa)
• tmux instalado para sesiones CLI fiables
• clawhub CLI instalado para gestión de skills — instalar con clawhub

Verifica tu configuración:

# Verificar versión de OpenClaw
openclaw --version

# Verificar versión de 1Password CLI
op --version

# Verificar que tmux esté disponible
tmux -V

# Verificar estado de autenticación de 1Password
op whoami

Cómo instalar el skill de 1Password CLI

Instala el skill de 1Password CLI con un solo comando:

npx clawhub@latest install 1password

Para verificar la instalación:

clawhub list

Deberías ver 1password en la lista de skills instalados. El skill se mantiene en el repositorio oficial de OpenClaw skills y se publica en ClawHub.

Configuración del skill de 1Password CLI

El skill requiere autenticación con tu cuenta de 1Password. Hay tres métodos según tu entorno.

Método 1: Integración con app de escritorio (Recomendado para desarrollo)

Habilita el desbloqueo biométrico para que el CLI se autentique a través de la app de escritorio de 1Password:

# Habilitar integración con app de escritorio
op signin

Cuando se solicite, aprueba la solicitud de inicio de sesión en la app de escritorio de 1Password. Este método usa verificación biométrica (Touch ID, Windows Hello) y no requiere tokens de larga duración.

Método 2: Token de cuenta de servicio (Recomendado para CI/CD)

# Establecer el token de cuenta de servicio
export OP_SERVICE_ACCOUNT_TOKEN=ops_your-service-account-token

Las cuentas de servicio proporcionan acceso no interactivo y con alcance definido a bóvedas específicas. Crea una en my.1password.com en Developer → Service Accounts.

Método 3: Servidor Connect (Para infraestructura auto-alojada)

# Establecer credenciales del servidor Connect
export OP_CONNECT_HOST=https://your-connect-server:8080
export OP_CONNECT_TOKEN=your-connect-token

Variables de entorno clave

| Variable | Propósito | |----------|-----------| | OP_SERVICE_ACCOUNT_TOKEN | Autenticarse con cuenta de servicio | | OP_CONNECT_HOST | URL del servidor Connect | | OP_CONNECT_TOKEN | Token de acceso del servidor Connect | | OP_ACCOUNT | Cuenta predeterminada para configuraciones multi-cuenta | | OP_BIOMETRIC_UNLOCK_ENABLED | Alternar integración con app de escritorio |

Importante: Nunca escribas tokens directamente en archivos de configuración. Usa variables de entorno o inyéctalos a través del almacén de secretos de tu plataforma CI/CD. Consulta la lista de verificación de seguridad para orientación adicional.

Ejemplos de uso del skill de 1Password CLI

1. Leer un secreto en tiempo de ejecución

Tú: "Obtén la clave API de Stripe de la bóveda Production."

El agente ejecuta op read "op://Production/Stripe API/credential" y devuelve el valor del secreto. La clave está disponible para uso inmediato sin almacenarse en ningún archivo.

2. Inyectar secretos en un archivo de configuración

Tú: "Inyecta todos los secretos en mi archivo .env.template y guárdalo como .env."

El agente usa op inject -i .env.template -o .env para reemplazar referencias de secretos como op://Vault/Item/field con valores reales. La plantilla es segura para hacer commit; el archivo de salida contiene credenciales reales.

3. Ejecutar un proceso con secretos inyectados

Tú: "Ejecuta el script de migración de base de datos con la URL de producción de 1Password."

El agente ejecuta op run --env-file .env -- npm run migrate, inyectando secretos como variables de entorno durante la duración del proceso. Una vez que el proceso termina, los secretos ya no están en memoria.

4. Listar y buscar elementos de la bóveda

Tú: "Muéstrame todas las claves API en la bóveda Development."

El agente ejecuta op item list --vault Development --tags api-key y devuelve una lista formateada de elementos coincidentes con sus nombres, categorías y fechas de última modificación.

Seguridad y mejores prácticas

El skill de 1Password accede a tus credenciales más sensibles. Sigue estas directrices para mantener la seguridad:

• Usa el mínimo privilegio. Otorga acceso a nivel de bóveda en lugar de acceso completo a la cuenta. Las cuentas de servicio solo deben ver las bóvedas que necesitan.
• Prefiere op run y op inject sobre op read. Estos comandos mantienen los secretos de forma efímera — nunca se escriben en disco ni se almacenan en el historial del shell.
• Nunca pegues secretos en logs, chat o código. El skill está diseñado para inyectar secretos directamente en procesos, evitando el portapapeles y la salida del terminal.
• Usa cuentas de servicio para automatización. Evita usar cuentas personales en pipelines CI/CD. Las cuentas de servicio proporcionan acceso con alcance definido y auditable.
• Rota los tokens de cuenta de servicio regularmente. Establece fechas de expiración al crear tokens y rótalos al menos cada 90 días.
• Ejecuta comandos op dentro de tmux. El skill aplica flujos de trabajo basados en tmux para prevenir fallos de TTY y desconexiones de sesión durante operaciones prolongadas.

Resolución de errores comunes del skill de 1Password CLI

"account is not signed in"

Tu sesión de 1Password ha expirado o nunca se estableció.

# Re-autenticarse a través de la app de escritorio
op signin

# Verificar la sesión
op whoami

Si usas una cuenta de servicio, verifica que OP_SERVICE_ACCOUNT_TOKEN esté correctamente configurado y no haya expirado.

"could not find item"

El elemento solicitado no existe en la bóveda especificada, o tu cuenta carece de acceso.

1. Verifica el nombre del elemento y la bóveda con op item list --vault "Nombre de Bóveda".
2. Confirma que tu cuenta tiene acceso de lectura a la bóveda.
3. Para cuentas de servicio, confirma que la bóveda está incluida en la política de acceso de la cuenta.

"tmux not found" o errores de TTY

El 1Password CLI requiere un TTY para inicio de sesión interactivo. El skill usa tmux para mantener sesiones persistentes.

# Instalar tmux
# macOS
brew install tmux

# Ubuntu / Debian
sudo apt install tmux

Después de instalar tmux, inicia una nueva sesión con tmux new -s op-session antes de ejecutar op signin.