OpenClaw Bitwarden 技能指南
透過 Bitwarden/Vaultwarden CLI 和 API 安全讀取金鑰。
最後更新: 2026-03-11
快速安裝
$ npx clawhub@latest install bitwarden核心功能
OpenClaw Bitwarden 技能概述
Bitwarden 技能透過官方 Bitwarden CLI(bw)將 OpenClaw 連接到你的 Bitwarden 或 Vaultwarden 密碼庫。安裝後,你的 OpenClaw 代理可以按需擷取密碼、API 金鑰、服務權杖和其他金鑰——使用自然語言而非在密碼庫 UI 中導覽。
該技能非常適合將服務憑證儲存在 Bitwarden 中的自架團隊和開發者,他們需要在開發工作流中快速、程式化地存取金鑰。無論你是部署到預發佈伺服器、設定新服務還是輪換 API 金鑰,Bitwarden 技能都能消除終端和密碼管理器之間的上下文切換。
OpenClaw Bitwarden 技能將安全視為首要關注點。工作階段權杖預設短期有效,密碼庫內容永不快取到磁碟,每次擷取都有日誌記錄,確保完整的稽核追蹤。
典型工作流:
- 向 OpenClaw 請求特定憑證(如「取得預發佈資料庫密碼」)。
- 代理使用你的 Bitwarden 密碼庫進行驗證並搜尋對應項目。
- 金鑰直接在你的工作階段中回傳——無需切換瀏覽器或應用程式。
Bitwarden 技能安裝前的準備
在安裝 Bitwarden 技能之前,請確保你已具備:
- OpenClaw 已安裝並執行(v1.0+)
- Bitwarden CLI(
bw) 已安裝 — 官方安裝指南 - Bitwarden 帳號(雲端或自架 Vaultwarden 實例)
- clawhub CLI 已安裝,用於技能管理
驗證你的環境:
# 檢查 OpenClaw 版本 openclaw --version # 檢查 Bitwarden CLI 版本 bw --version # 檢查登入狀態 bw status
自架 Vaultwarden 使用者需先設定伺服器 URL:
bw config server https://vault.yourdomain.com
如何安裝 Bitwarden 技能
使用一條命令安裝 Bitwarden 技能:
npx clawhub@latest install bitwarden
驗證安裝:
clawhub list
你應該能在已安裝技能清單中看到 bitwarden。
Bitwarden 技能設定指南
Bitwarden 技能需要與你的密碼庫進行驗證。根據使用情境有兩種方式。
互動式登入
用於個人開發情境,互動式登入:
# 登入 Bitwarden 雲端 bw login # 或登入自架 Vaultwarden 實例 bw login --sso
登入後,解鎖密碼庫以建立工作階段:
export BW_SESSION=$(bw unlock --raw)
API 金鑰驗證
用於自動化工作流和 CI/CD 管線,使用 API 金鑰驗證:
export BW_CLIENTID=your_client_id export BW_CLIENTSECRET=your_client_secret bw login --apikey export BW_SESSION=$(bw unlock --raw)
在 vault.bitwarden.com/#/settings/security/security-keys 產生你的 API 金鑰。
環境變數
| 變數 | 是否必需 | 用途 |
|------|---------|------|
| BW_SESSION | 是 | 密碼庫存取的活躍工作階段權杖 |
| BW_CLIENTID | API 驗證需要 | Bitwarden API 用戶端 ID |
| BW_CLIENTSECRET | API 驗證需要 | Bitwarden API 用戶端金鑰 |
重要提示: 永遠不要在設定檔中硬編碼工作階段權杖或 API 憑證。使用環境變數並保持工作階段短期有效。不使用時透過 bw lock 鎖定密碼庫。
Bitwarden 技能使用範例
1. 擷取特定金鑰
你:「從我的 Bitwarden 密碼庫中取得 AWS 存取金鑰。」
代理在你的密碼庫中搜尋匹配「AWS access key」的項目,擷取憑證並回傳使用者名稱和密碼欄位。如果存在多個匹配項,它會展示清單供你選擇。
2. 生成安全密碼
你:「生成一個 32 位包含特殊字元的密碼,並儲存為 DevOps 資料夾中的'New API Token'。」
代理使用 bw generate 建立一個加密安全的密碼,然後在指定資料夾中建立新的密碼庫項目。
bw generate --length 32 --special --uppercase --lowercase --number
3. 搜尋並列出密碼庫項目
你:「列出'Production'集合中的所有憑證。」
代理按集合名稱查詢你的密碼庫,回傳所有項目的摘要——顯示名稱、使用者名稱和最後修改日期,除非你明確要求,否則不會暴露實際密碼。
4. 取得 TOTP 代碼
你:「取得我 GitHub 帳號的雙重驗證代碼。」
代理從你的密碼庫中擷取 TOTP 種子,使用 bw get totp github 產生目前的 6 位代碼。當你需要 MFA 代碼但不想切換到手機驗證器應用程式時非常有用。
安全與最佳實踐
Bitwarden 技能存取你最敏感的憑證。請嚴格遵循以下指南:
- 保持工作階段短期有效。 擷取金鑰後立即使用
bw lock鎖定密碼庫。避免讓BW_SESSION長時間保持活躍。 - 永遠不要匯出整個密碼庫。 該技能按需擷取單個項目。避免使用
bw export等匯出所有憑證的命令。 - 使用集合進行存取控制。 將金鑰組織到集合中,並限制代理可以存取的集合。這遵循最小權限原則。
- 啟用雙重驗證。 使用 TOTP、FIDO2 或硬體金鑰驗證保護你的 Bitwarden 帳號。
- 稽核存取日誌。 定期查看 Bitwarden 事件日誌,追蹤哪些項目被存取以及何時被存取。
- 自動化情境優先使用 Bitwarden Secrets Manager。 對於生產環境的 CI/CD 工作流,考慮使用 Bitwarden Secrets Manager,它提供機器身分存取權杖而非使用者憑證。
要進行更廣泛的金鑰掃描和洩漏預防,可將此技能與 ggshield Scanner 搭配使用,以偵測意外提交的金鑰。
常見錯誤與故障排除
"Vault is locked"
你的工作階段已過期或從未啟動。
# 解鎖密碼庫並匯出工作階段權杖 export BW_SESSION=$(bw unlock --raw)
如果你根本沒有登入,請先執行 bw login。
"Not logged in"
你需要在解鎖之前先進行驗證:
# 登入 Bitwarden bw login your@email.com # 然後解鎖 export BW_SESSION=$(bw unlock --raw)
"No items found matching the search term"
搜尋查詢沒有匹配到任何密碼庫項目。嘗試:
- 使用更寬泛的搜尋詞
- 在密碼庫 UI 中檢查項目名稱
- 使用
bw sync同步密碼庫以取得最新變更
你:「搜尋任何欄位中包含'database'的項目。」
常見問題
當負責任地使用時是安全的。該技能按需擷取單個金鑰,不會快取或寫入磁碟。工作階段權杖預設短期有效,你可以在擷取後立即鎖定密碼庫。對於生產環境,我們建議使用 [Bitwarden Secrets Manager](https://bitwarden.com/products/secrets-manager/) 的機器身分權杖而非個人密碼庫存取。在將任何金鑰管理器連接到 AI 代理之前,請務必查看[安全檢查清單](/skills#safety)。
支援。Bitwarden CLI 完全相容 [Vaultwarden](https://github.com/dani-garcia/vaultwarden)(前身為 bitwarden_rs)。登入前使用 `bw config server https://vault.yourdomain.com` 設定你的伺服器 URL。所有技能功能——搜尋、擷取、產生、TOTP——在 Vaultwarden 上的運作方式完全相同。對於使用自架基礎設施的團隊,可以將此技能與 [1Password 技能](/skills/1password) 作為替代方案搭配使用。
兩個技能都透過各自的 CLI 提供金鑰管理。Bitwarden 技能使用 `bw` CLI,支援 Bitwarden 雲端和自架 Vaultwarden 實例,非常適合偏好開源、自架基礎設施的團隊。[1Password 技能](/skills/1password) 使用 `op` CLI,與 1Password 的服務帳號有更深度的整合。請根據你的團隊已經使用的密碼管理器來選擇。