Skill 1Password CLI pour OpenClaw

Présentation du skill 1Password CLI pour OpenClaw

Le skill 1Password CLI connecte OpenClaw à vos coffres 1Password via le 1Password CLI (op) officiel. Une fois installé, votre agent OpenClaw peut lire des secrets, injecter des identifiants dans des fichiers de configuration et exécuter des processus avec des secrets comme variables d'environnement — le tout par des commandes en langage naturel. Plus besoin de copier-coller des jetons depuis l'application 1Password.

La gestion des secrets est un élément critique de tout workflow de développement. Le skill 1Password pour OpenClaw élimine la nécessité de stocker des clés API, des mots de passe de base de données ou des jetons de service dans des fichiers de configuration en texte clair. Au lieu de cela, vous demandez à OpenClaw de récupérer exactement ce dont vous avez besoin, et l'agent le récupère en toute sécurité depuis votre coffre au moment de l'exécution.

Workflow typique :

1. Demandez à OpenClaw d'injecter vos identifiants de base de données dans le fichier .env.
2. L'agent exécute op inject pour remplacer les références de secrets par des valeurs réelles.
3. Les identifiants sont disponibles pour votre application — jamais écrits en clair sur le disque.

Ce skill applique un workflow basé sur tmux pour toutes les commandes op, assurant des sessions d'authentification persistantes et prévenant les erreurs TTY pendant les opérations automatisées. Il prend en charge l'intégration avec l'application de bureau (déverrouillage biométrique) et les jetons de comptes de service pour les pipelines CI/CD.

Prérequis pour le skill 1Password CLI

Avant d'installer le skill 1Password CLI, assurez-vous d'avoir :

• OpenClaw installé et en cours d'exécution (v1.0+)
• 1Password CLI (op) installé — guide d'installation officiel
• Un compte 1Password (individuel, famille, équipe ou entreprise)
• tmux installé pour des sessions CLI fiables
• clawhub CLI installé pour la gestion des skills — installer avec clawhub

Vérifiez votre configuration :

# Vérifier la version d'OpenClaw
openclaw --version

# Vérifier la version du 1Password CLI
op --version

# Vérifier que tmux est disponible
tmux -V

# Vérifier l'état d'authentification 1Password
op whoami

Comment installer le skill 1Password CLI

Installez le skill 1Password CLI avec une seule commande :

npx clawhub@latest install 1password

Pour vérifier l'installation :

clawhub list

Vous devriez voir 1password dans la liste des skills installés. Le skill est maintenu dans le dépôt officiel OpenClaw skills et publié sur ClawHub.

Configuration du skill 1Password CLI

Le skill nécessite une authentification avec votre compte 1Password. Il existe trois méthodes selon votre environnement.

Méthode 1 : Intégration avec l'app de bureau (Recommandé pour le développement)

Activez le déverrouillage biométrique pour que le CLI s'authentifie via l'application de bureau 1Password :

# Activer l'intégration avec l'app de bureau
op signin

Lorsque demandé, approuvez la demande de connexion dans l'application de bureau 1Password. Cette méthode utilise la vérification biométrique (Touch ID, Windows Hello) et ne nécessite pas de jetons à longue durée de vie.

Méthode 2 : Jeton de compte de service (Recommandé pour CI/CD)

# Définir le jeton de compte de service
export OP_SERVICE_ACCOUNT_TOKEN=ops_your-service-account-token

Les comptes de service fournissent un accès non interactif et limité à des coffres spécifiques. Créez-en un sur my.1password.com sous Developer → Service Accounts.

Méthode 3 : Serveur Connect (Pour l'infrastructure auto-hébergée)

# Définir les identifiants du serveur Connect
export OP_CONNECT_HOST=https://your-connect-server:8080
export OP_CONNECT_TOKEN=your-connect-token

Variables d'environnement clés

| Variable | Objectif | |----------|----------| | OP_SERVICE_ACCOUNT_TOKEN | S'authentifier avec un compte de service | | OP_CONNECT_HOST | URL du serveur Connect | | OP_CONNECT_TOKEN | Jeton d'accès du serveur Connect | | OP_ACCOUNT | Compte par défaut pour les configurations multi-comptes | | OP_BIOMETRIC_UNLOCK_ENABLED | Basculer l'intégration avec l'app de bureau |

Important : Ne codez jamais les jetons en dur dans les fichiers de configuration. Utilisez des variables d'environnement ou injectez-les via le magasin de secrets de votre plateforme CI/CD. Consultez la liste de vérification de sécurité pour des conseils supplémentaires.

Exemples d'utilisation du skill 1Password CLI

1. Lire un secret au moment de l'exécution

Vous : « Récupère la clé API Stripe du coffre Production. »

L'agent exécute op read "op://Production/Stripe API/credential" et retourne la valeur du secret. La clé est disponible immédiatement sans être stockée dans aucun fichier.

2. Injecter des secrets dans un fichier de configuration

Vous : « Injecte tous les secrets dans mon fichier .env.template et sauvegarde-le en .env. »

L'agent utilise op inject -i .env.template -o .env pour remplacer les références de secrets comme op://Vault/Item/field par des valeurs réelles. Le modèle peut être committé en toute sécurité ; le fichier de sortie contient les vrais identifiants.

3. Exécuter un processus avec des secrets injectés

Vous : « Exécute le script de migration de base de données avec l'URL de production depuis 1Password. »

L'agent exécute op run --env-file .env -- npm run migrate, injectant les secrets comme variables d'environnement pendant la durée du processus. Une fois le processus terminé, les secrets ne sont plus en mémoire.

4. Lister et rechercher les éléments du coffre

Vous : « Montre-moi toutes les clés API dans le coffre Development. »

L'agent exécute op item list --vault Development --tags api-key et retourne une liste formatée des éléments correspondants avec leurs noms, catégories et dates de dernière modification.

Sécurité et bonnes pratiques

Le skill 1Password accède à vos identifiants les plus sensibles. Suivez ces directives pour rester en sécurité :

• Utilisez le moindre privilège. Accordez un accès au niveau du coffre plutôt qu'un accès complet au compte. Les comptes de service ne devraient voir que les coffres dont ils ont besoin.
• Préférez op run et op inject à op read. Ces commandes gardent les secrets éphémères — ils ne sont jamais écrits sur le disque ni stockés dans l'historique du shell.
• Ne collez jamais de secrets dans les logs, le chat ou le code. Le skill est conçu pour injecter les secrets directement dans les processus, contournant le presse-papiers et la sortie du terminal.
• Utilisez des comptes de service pour l'automatisation. Évitez d'utiliser des comptes personnels dans les pipelines CI/CD. Les comptes de service fournissent un accès limité et auditable.
• Faites tourner les jetons de compte de service régulièrement. Définissez des dates d'expiration lors de la création des jetons et faites-les tourner au moins tous les 90 jours.
• Exécutez les commandes op dans tmux. Le skill applique des workflows basés sur tmux pour prévenir les erreurs TTY et les déconnexions de session lors d'opérations prolongées.

Résolution des erreurs courantes du skill 1Password CLI

« account is not signed in »

Votre session 1Password a expiré ou n'a jamais été établie.

# Se ré-authentifier via l'app de bureau
op signin

# Vérifier la session
op whoami

Si vous utilisez un compte de service, vérifiez que OP_SERVICE_ACCOUNT_TOKEN est correctement défini et n'a pas expiré.

« could not find item »

L'élément demandé n'existe pas dans le coffre spécifié, ou votre compte n'a pas l'accès.

1. Vérifiez le nom de l'élément et le coffre avec op item list --vault "Nom du coffre".
2. Confirmez que votre compte a un accès en lecture au coffre.
3. Pour les comptes de service, confirmez que le coffre est inclus dans la politique d'accès du compte.

« tmux not found » ou erreurs TTY

Le 1Password CLI nécessite un TTY pour la connexion interactive. Le skill utilise tmux pour maintenir des sessions persistantes.

# Installer tmux
# macOS
brew install tmux

# Ubuntu / Debian
sudo apt install tmux

Après l'installation de tmux, démarrez une nouvelle session avec tmux new -s op-session avant d'exécuter op signin.