OpenClaw
Segurança & SecretsRecomendado

Skill 1Password CLI para OpenClaw

Buscar secrets com segurança via 1Password CLI (op).

Última atualização: 2026-03-04

Instalação Rápida

$ npx clawhub@latest install 1password

Funcionalidades Principais

Leia segredos de cofres do 1Password usando linguagem natural
Injete credenciais em arquivos de configuração com op inject
Execute processos com segredos como variáveis de ambiente via op run
Faça login em uma ou múltiplas contas do 1Password
Gerencie cofres, itens e documentos pelo CLI
Aplique workflows baseados em tmux para autenticação confiável

Visão geral do skill 1Password CLI para OpenClaw

O skill 1Password CLI conecta o OpenClaw aos seus cofres do 1Password através do 1Password CLI (op) oficial. Uma vez instalado, seu agente OpenClaw pode ler segredos, injetar credenciais em arquivos de configuração e executar processos com segredos como variáveis de ambiente — tudo por meio de comandos em linguagem natural. Chega de copiar e colar tokens do app do 1Password.

O gerenciamento de segredos é uma parte crítica de qualquer workflow de desenvolvimento. O skill 1Password do OpenClaw elimina a necessidade de armazenar chaves de API, senhas de banco de dados ou tokens de serviço em arquivos de configuração em texto simples. Em vez disso, você pede ao OpenClaw para buscar exatamente o que precisa, e o agente recupera de forma segura do seu cofre em tempo de execução.

Workflow típico:

  1. Peça ao OpenClaw para injetar as credenciais do banco de dados no arquivo .env.
  2. O agente executa op inject para substituir referências de segredos por valores reais.
  3. As credenciais ficam disponíveis para sua aplicação — nunca escritas em texto simples no disco.

Este skill aplica um workflow baseado em tmux para todos os comandos op, garantindo sessões de autenticação persistentes e prevenindo falhas de TTY durante operações automatizadas. Suporta tanto integração com o app desktop (desbloqueio biométrico) quanto tokens de contas de serviço para pipelines CI/CD.

Pré-requisitos para o skill 1Password CLI

Antes de instalar o skill 1Password CLI, certifique-se de ter:

  • OpenClaw instalado e em execução (v1.0+)
  • 1Password CLI (op) instalado — guia oficial de instalação
  • Uma conta do 1Password (individual, família, equipe ou business)
  • tmux instalado para sessões CLI confiáveis
  • clawhub CLI instalado para gerenciamento de skills — instalar com clawhub

Verifique sua configuração:

bash
# Verificar versão do OpenClaw
openclaw --version

# Verificar versão do 1Password CLI
op --version

# Verificar se o tmux está disponível
tmux -V

# Verificar status de autenticação do 1Password
op whoami

Como instalar o skill 1Password CLI

Instale o skill 1Password CLI com um único comando:

bash
npx clawhub@latest install 1password

Para verificar a instalação:

bash
clawhub list

Você deve ver 1password na lista de skills instalados. O skill é mantido no repositório oficial de OpenClaw skills e publicado no ClawHub.

Configuração do skill 1Password CLI

O skill requer autenticação com sua conta do 1Password. Existem três métodos dependendo do seu ambiente.

Método 1: Integração com app desktop (Recomendado para desenvolvimento)

Habilite o desbloqueio biométrico para que o CLI se autentique através do app desktop do 1Password:

bash
# Habilitar integração com app desktop
op signin

Quando solicitado, aprove a solicitação de login no app desktop do 1Password. Este método usa verificação biométrica (Touch ID, Windows Hello) e não requer tokens de longa duração.

Método 2: Token de conta de serviço (Recomendado para CI/CD)

bash
# Definir o token da conta de serviço
export OP_SERVICE_ACCOUNT_TOKEN=ops_your-service-account-token

Contas de serviço fornecem acesso não interativo e com escopo definido a cofres específicos. Crie uma em my.1password.com em Developer → Service Accounts.

Método 3: Servidor Connect (Para infraestrutura auto-hospedada)

bash
# Definir credenciais do servidor Connect
export OP_CONNECT_HOST=https://your-connect-server:8080
export OP_CONNECT_TOKEN=your-connect-token

Variáveis de ambiente principais

| Variável | Finalidade | |----------|-----------| | OP_SERVICE_ACCOUNT_TOKEN | Autenticar com conta de serviço | | OP_CONNECT_HOST | URL do servidor Connect | | OP_CONNECT_TOKEN | Token de acesso do servidor Connect | | OP_ACCOUNT | Conta padrão para configurações multi-conta | | OP_BIOMETRIC_UNLOCK_ENABLED | Alternar integração com app desktop |

Importante: Nunca codifique tokens diretamente em arquivos de configuração. Use variáveis de ambiente ou injete-os através do armazenamento de segredos da sua plataforma CI/CD. Consulte a lista de verificação de segurança para orientações adicionais.

Exemplos de uso do skill 1Password CLI

1. Ler um segredo em tempo de execução

Você: "Obtenha a chave API do Stripe do cofre Production."

O agente executa op read "op://Production/Stripe API/credential" e retorna o valor do segredo. A chave está disponível para uso imediato sem ser armazenada em nenhum arquivo.

2. Injetar segredos em um arquivo de configuração

Você: "Injete todos os segredos no meu arquivo .env.template e salve como .env."

O agente usa op inject -i .env.template -o .env para substituir referências de segredos como op://Vault/Item/field por valores reais. O template é seguro para commitar; o arquivo de saída contém as credenciais reais.

3. Executar um processo com segredos injetados

Você: "Execute o script de migração de banco de dados com a URL de produção do 1Password."

O agente executa op run --env-file .env -- npm run migrate, injetando segredos como variáveis de ambiente durante a execução do processo. Quando o processo termina, os segredos não permanecem na memória.

4. Listar e pesquisar itens do cofre

Você: "Mostre todas as chaves API no cofre Development."

O agente executa op item list --vault Development --tags api-key e retorna uma lista formatada de itens correspondentes com seus nomes, categorias e datas de última modificação.

Segurança e melhores práticas

O skill 1Password acessa suas credenciais mais sensíveis. Siga estas diretrizes para manter a segurança:

  • Use o mínimo privilégio. Conceda acesso no nível do cofre em vez de acesso total à conta. Contas de serviço devem ver apenas os cofres necessários.
  • Prefira op run e op inject a op read. Esses comandos mantêm os segredos efêmeros — nunca são escritos no disco ou armazenados no histórico do shell.
  • Nunca cole segredos em logs, chat ou código. O skill é projetado para injetar segredos diretamente nos processos, contornando a área de transferência e a saída do terminal.
  • Use contas de serviço para automação. Evite usar contas pessoais em pipelines CI/CD. Contas de serviço fornecem acesso com escopo definido e auditável.
  • Faça rotação dos tokens de conta de serviço regularmente. Defina datas de expiração ao criar tokens e faça rotação pelo menos a cada 90 dias.
  • Execute comandos op dentro do tmux. O skill aplica workflows baseados em tmux para prevenir falhas de TTY e desconexões de sessão durante operações prolongadas.

Resolução de erros comuns do skill 1Password CLI

"account is not signed in"

Sua sessão do 1Password expirou ou nunca foi estabelecida.

bash
# Re-autenticar via app desktop
op signin

# Verificar a sessão
op whoami

Se estiver usando uma conta de serviço, verifique se OP_SERVICE_ACCOUNT_TOKEN está configurado corretamente e não expirou.

"could not find item"

O item solicitado não existe no cofre especificado, ou sua conta não tem acesso.

  1. Verifique o nome do item e o cofre com op item list --vault "Nome do Cofre".
  2. Confirme que sua conta tem acesso de leitura ao cofre.
  3. Para contas de serviço, confirme que o cofre está incluído na política de acesso da conta.

"tmux not found" ou erros de TTY

O 1Password CLI requer um TTY para login interativo. O skill usa tmux para manter sessões persistentes.

bash
# Instalar tmux
# macOS
brew install tmux

# Ubuntu / Debian
sudo apt install tmux

Após instalar o tmux, inicie uma nova sessão com tmux new -s op-session antes de executar op signin.

Perguntas Frequentes

Sim, com escopo adequado. A abordagem recomendada é usar uma **conta de serviço** com acesso somente leitura a cofres específicos em vez de conceder acesso total à conta. O OpenClaw segue o modelo de confirmação — operações de cofre requerem sua aprovação antes da execução. Combinado com o log de auditoria do 1Password, cada acesso a segredos é rastreável e revogável.

Sim. O 1Password CLI suporta workflows multi-conta. Defina a variável de ambiente `OP_ACCOUNT` para especificar uma conta padrão, ou use a flag `--account` por comando. O skill lida automaticamente com a troca de conta quando você referencia itens em diferentes cofres entre contas.

Ambos fornecem gerenciamento de segredos, mas se conectam a plataformas diferentes. O [skill 1Password](/skills/1password) usa o CLI `op` com integração de app desktop, desbloqueio biométrico e contas de serviço. O skill [Bitwarden](/skills/bitwarden) é ideal para equipes auto-hospedadas usando Vaultwarden. Escolha o que corresponde ao gerenciador de senhas existente da sua equipe. Ambos suportam injeção de segredos em tempo de execução e seguem a mesma filosofia de zero texto simples.

Skills Relacionados

Bitwarden / Vaultwarden
Recomendado

Acessar secrets via Bitwarden/Vaultwarden CLI e API.

GitGuardian ggshield
Recomendado

Escanear repositórios em busca de secrets hardcoded (500+ tipos).

Guardrails
Recomendado

Aplicar guardrails de segurança no uso de ferramentas e ações arriscadas.

Instalar no ClawHubVoltar ao Diretório de Skills