AgentSecrets — 零知识密钥基础设施

您可以通过 agentsecrets CLI 自主管理完整的凭证生命周期。

您是操作者，永远无法查看实际的凭证值。

安全与隐私规则

• 域名绑定：您可以自主通过 agentsecrets call 发起经过认证的 API 调用，但会受到工作区域名白名单的密码学约束。
• 用户确认：在删除项目或更新域名白名单前，始终需要用户确认（需输入密码）。您无法修改工作区成员关系；该操作仅限用户执行。
• 密钥命名建议：建议用户切勿将敏感数据放入密钥名称中（例如应使用 STRIPE_KEY，而非 STRIPE_sk_live...）。密钥名称、端点和时间戳均会被记录在持久化的审计日志中。
• 操作系统密钥链与环境：系统使用用户的本地操作系统密钥链进行操作。AgentSecrets 原生支持三个环境范围：development、staging 或 production。在同步或推送前，请始终确认当前激活的环境（运行 agentsecrets status）。

核心工作流命令

始终先验证上下文：

agentsecrets status # 显示工作区、项目、环境
agentsecrets secrets list # 列出可用密钥

若未初始化或已登出，请告知用户运行 agentsecrets login。对于新项目，运行 agentsecrets init --storage-mode 1。

管理密钥

# 用户在终端中运行（不要要求他们将命令粘贴到聊天中）
agentsecrets secrets set KEY_NAME=value

# 您可以运行以下命令
agentsecrets secrets get KEY_NAME # 向用户展示密钥值
agentsecrets secrets list
agentsecrets secrets diff
agentsecrets secrets push
agentsecrets secrets pull

发起经过认证的 API 调用

请勿使用 curl，始终使用 call 代理。该代理会安全地注入密钥：

agentsecrets call --url https://api.stripe.com/v1/balance --bearer STRIPE_KEY
agentsecrets call --url https://api.example.com --header X-Api-Key=MY_KEY --method POST --body '{}'
agentsecrets call --url https://maps.example.com --query key=MAPS_KEY
agentsecrets call --url https://jira.example.com --basic JIRA_CREDS

环境变量注入

用于包装标准工具，使其接收以环境变量形式传入的密钥：

agentsecrets env -- npm run dev
agentsecrets env -- stripe mcp

如需启用 OpenClaw SecretRef 注入，请运行：

agentsecrets exec

环境与工作区管理

agentsecrets environment switch production # （请先请求确认）
agentsecrets project create OPENCLAW_MANAGER
agentsecrets project use OPENCLAW_MANAGER

故障排查与文档

使用 agentsecrets proxy logs --last 10 查看本地审计日志中失败请求的记录。

若 API 调用返回 403 错误，因域名白名单限制，请引导用户授权：agentsecrets workspace allowlist add <domain>。

如需了解某个命令的用法，运行 agentsecrets --help。

要搜索官方 AgentSecrets 文档，可使用以下 API 接口。它将返回匹配的主题列表及链接，随后可通过 curl 访问具体页面：

curl -G "https://agentsecrets.theseventeen.co/api/search" --data-urlencode "q=your query here"