OpenClaw Bitwarden 스킬 가이드

OpenClaw Bitwarden 스킬 개요

Bitwarden 스킬은 공식 Bitwarden CLI(bw)를 통해 OpenClaw를 Bitwarden 또는 Vaultwarden 볼트에 연결합니다. 설치 후 OpenClaw 에이전트는 비밀번호, API 키, 서비스 토큰 및 기타 시크릿을 온디맨드로 검색할 수 있습니다 — 볼트 UI를 탐색하는 대신 자연어를 사용합니다.

이 스킬은 서비스 자격 증명을 Bitwarden에 저장하고 개발 워크플로 중에 빠르고 프로그래밍적으로 접근해야 하는 셀프호스팅 팀과 개발자에게 이상적입니다. 스테이징 서버에 배포하든, 새 서비스를 구성하든, API 키를 교체하든, Bitwarden 스킬은 터미널과 비밀번호 관리자 사이의 컨텍스트 전환을 제거합니다.

OpenClaw Bitwarden 스킬은 보안을 최우선으로 다룹니다. 세션 토큰은 기본적으로 단기간 유효하고, 볼트 내용은 디스크에 캐시되지 않으며, 모든 검색이 기록되어 완전한 감사 추적을 유지합니다.

일반적인 워크플로:

1. OpenClaw에 특정 자격 증명을 요청합니다 (예: "스테이징 데이터베이스 비밀번호를 가져와 줘").
2. 에이전트가 Bitwarden 볼트로 인증하고 항목을 검색합니다.
3. 시크릿이 세션에서 직접 반환됩니다 — 브라우저나 앱 전환 불필요.

Bitwarden 스킬 사전 요구 사항

Bitwarden 스킬을 설치하기 전에 다음을 확인하세요:

• OpenClaw 설치 및 실행 중 (v1.0+)
• Bitwarden CLI(bw) 설치됨 — 공식 설치 가이드
• Bitwarden 계정 (클라우드 또는 셀프호스팅 Vaultwarden 인스턴스)
• clawhub CLI 설치됨

환경 확인:

# OpenClaw 버전 확인
openclaw --version

# Bitwarden CLI 버전 확인
bw --version

# 로그인 상태 확인
bw status

셀프호스팅 Vaultwarden 사용자는 먼저 서버 URL을 구성하세요:

bw config server https://vault.yourdomain.com

Bitwarden 스킬 설치 방법

한 줄의 명령으로 Bitwarden 스킬을 설치합니다:

npx clawhub@latest install bitwarden

설치 확인:

clawhub list

설치된 스킬 목록에 bitwarden이 표시되어야 합니다.

Bitwarden 스킬 구성

Bitwarden 스킬은 볼트와의 인증이 필요합니다. 사용 사례에 따라 두 가지 방법이 있습니다.

대화형 로그인

개인 개발 용도로 대화형 로그인:

# Bitwarden 클라우드에 로그인
bw login

# 또는 셀프호스팅 Vaultwarden 인스턴스에 로그인
bw login --sso

로그인 후 볼트를 잠금 해제하여 세션 생성:

export BW_SESSION=$(bw unlock --raw)

API 키 인증

자동화 워크플로와 CI/CD 파이프라인에는 API 키 인증 사용:

export BW_CLIENTID=your_client_id
export BW_CLIENTSECRET=your_client_secret
bw login --apikey
export BW_SESSION=$(bw unlock --raw)

vault.bitwarden.com/#/settings/security/security-keys에서 API 키를 생성하세요.

환경 변수

| 변수 | 필수 여부 | 용도 | |------|----------|------| | BW_SESSION | 예 | 볼트 접근용 활성 세션 토큰 | | BW_CLIENTID | API 인증 시 | Bitwarden API 클라이언트 ID | | BW_CLIENTSECRET | API 인증 시 | Bitwarden API 클라이언트 시크릿 |

중요: 설정 파일에 세션 토큰이나 API 자격 증명을 하드코딩하지 마세요. 환경 변수를 사용하고 세션을 단기간으로 유지하세요. 사용하지 않을 때는 bw lock으로 볼트를 잠그세요.

Bitwarden 스킬 사용 예시

1. 특정 시크릿 검색

사용자: "Bitwarden 볼트에서 AWS 접근 키를 가져와 줘."

에이전트가 볼트에서 "AWS access key"와 일치하는 항목을 검색하고, 자격 증명을 가져와 사용자 이름과 비밀번호 필드를 반환합니다. 여러 항목이 일치하면 선택할 수 있는 목록을 제시합니다.

2. 안전한 비밀번호 생성

사용자: "특수 문자가 포함된 32자리 비밀번호를 생성하고 DevOps 폴더에 'New API Token'으로 저장해 줘."

에이전트가 bw generate를 사용하여 암호학적으로 안전한 비밀번호를 만들고, 지정된 폴더에 새 볼트 항목을 생성합니다.

bw generate --length 32 --special --uppercase --lowercase --number

3. 볼트 항목 검색 및 목록 표시

사용자: "'Production' 컬렉션의 모든 자격 증명을 목록으로 보여 줘."

에이전트가 컬렉션 이름으로 볼트를 조회하고, 모든 항목의 요약을 반환합니다 — 이름, 사용자 이름, 최종 수정 날짜를 표시하며, 명시적으로 요청하지 않는 한 실제 비밀번호는 노출하지 않습니다.

4. TOTP 코드 가져오기

사용자: "GitHub 계정의 이중 인증 코드를 가져와 줘."

에이전트가 볼트에서 TOTP 시드를 가져와 bw get totp github로 현재 6자리 코드를 생성합니다. 모바일 인증기 앱으로 전환하지 않고 MFA 코드가 필요할 때 유용합니다.

보안 및 모범 사례

Bitwarden 스킬은 가장 민감한 자격 증명에 접근합니다. 다음 가이드라인을 엄격히 따르세요:

• 세션을 단기간으로 유지. 시크릿 검색 후 즉시 bw lock으로 볼트를 잠그세요. BW_SESSION을 필요 이상으로 오래 활성 상태로 두지 마세요.
• 전체 볼트를 내보내지 마세요. 이 스킬은 개별 항목을 온디맨드로 검색합니다. 모든 자격 증명을 덤프하는 bw export 같은 명령은 피하세요.
• 컬렉션으로 접근 제어. 시크릿을 컬렉션으로 구성하고 에이전트가 접근할 수 있는 컬렉션을 제한하세요. 이는 최소 권한 원칙을 따릅니다.
• 이중 인증 활성화. TOTP, FIDO2 또는 하드웨어 키 인증으로 Bitwarden 계정을 보호하세요.
• 접근 로그 감사. Bitwarden 이벤트 로그를 정기적으로 검토하여 어떤 항목이 언제 접근되었는지 추적하세요.
• 자동화에는 Bitwarden Secrets Manager 우선 사용. 프로덕션 CI/CD 워크플로에는 사용자 자격 증명 대신 머신 ID 접근 토큰을 제공하는 Bitwarden Secrets Manager를 고려하세요.

더 광범위한 시크릿 스캔과 누출 방지를 위해 이 스킬을 ggshield Scanner와 결합하여 실수로 커밋된 시크릿을 감지하세요.

일반적인 오류 해결

"Vault is locked"

세션이 만료되었거나 시작되지 않았습니다.

# 볼트를 잠금 해제하고 세션 토큰 내보내기
export BW_SESSION=$(bw unlock --raw)

아직 로그인하지 않았다면 먼저 bw login을 실행하세요.

"Not logged in"

잠금 해제 전에 인증이 필요합니다:

# Bitwarden에 로그인
bw login your@email.com

# 그런 다음 잠금 해제
export BW_SESSION=$(bw unlock --raw)

"No items found matching the search term"

검색 쿼리가 볼트 항목과 일치하지 않습니다. 시도해 보세요:

• 더 넓은 검색어 사용
• 볼트 UI에서 항목 이름 확인
• bw sync로 볼트를 동기화하여 최신 변경 사항 가져오기

사용자: "모든 필드에서 'database'를 포함하는 항목을 검색해 줘."