安全密钥传递

技能简介

安全密钥传递(Side_Peace)是一个极简的密钥交接工具，用于从人类安全地向AI传递敏感信息。零外部依赖，仅使用Node.js内置模块。密钥通过临时文件传递，永远不会出现在标准输出或日志中。

业务背景

安全密钥传递解决AI协作中的敏感信息交接难题。业务人员无需技术背景，通过浏览器即可将密码、API密钥等凭证安全传递给AI助手，全程不经过聊天记录或系统日志，避免密钥泄露风险。零依赖设计确保工具即开即用，满足企业合规审计对敏感操作的可控要求。

落地案例：某运营团队需向AI配置数据库连接密码：AI启动安全密钥传递服务，生成专属输入页面；运营人员在本地浏览器打开链接，输入密码后提交；AI从临时文件读取密码完成配置，文件自动删除且从未出现在对话记录中。整个过程无需安装额外软件，杜绝了密码在即时通讯工具中留痕的风险。

能做什么

• 启动本地HTTP服务器接收密钥
• 生成浏览器表单供人类输入敏感信息
• 将密钥安全保存到临时文件（0600权限）
• 确保密钥不进入stdout/chat日志
• 一次性使用，接收后服务器自动退出

使用说明

安装指令：

clawhub install side-peace

工作流程：

1. AI运行node drop.js --label "API Key"启动服务
2. AI将显示的URL分享给人类
3. 人类在浏览器中打开URL，粘贴密钥并提交
4. 密钥保存到临时文件（仅显示路径，不显示内容）
5. AI读取文件使用密钥，然后删除文件

基本用法：

# 基础用法 - 密钥保存到随机临时文件
node skills/side-peace/drop.js --label "CLAWHUB_TOKEN"

# 自定义输出路径
node skills/side-peace/drop.js --label "API_KEY" --output /tmp/my-secret.txt

# 自定义端口
node skills/side-peace/drop.js --port 4000 --label "TOKEN"

读取密钥示例：

# 读取并使用（以clawhub为例）
SECRET=$(cat /tmp/side-peace-xxx.secret)
npx clawhub login --token "$SECRET" --no-browser
rm /tmp/side-peace-xxx.secret

# 或一行命令
cat /tmp/side-peace-xxx.secret | xargs -I{} npx clawhub login --token {} --no-browser; rm /tmp/side-peace-xxx.secret

安全特性：

• 零依赖：仅使用Node.js内置模块，无npm包风险
• 密钥不出现在stdout：写入文件，聊天日志中只显示文件路径
• 内存安全：仅在保存前存在于内存，文件权限0600
• 一次性：接收密钥后服务器立即退出
• 代码精简：约60行代码，完全可审计

输出示例：

🍒 Side_Peace waiting...
   Label: CLAWHUB_TOKEN
   Output: /tmp/side-peace-a1b2c3d4.secret

   Local:    http://localhost:3000
   Network:  http://192.168.1.94:3000

Waiting for secret...

✓ Secret received and saved.
  File: /tmp/side-peace-a1b2c3d4.secret
  (Secret is NOT printed to stdout for security)

输入与输出

见下方输入与输出表格。

见下方输入输出表格。

风险提示

• 临时文件在读取前需确保环境安全
• 网络环境需可信，防止中间人截获
• 使用后应立即删除临时文件
• 默认端口3000可能被占用，需准备备用端口
• 原始页面信息不足，缺少HTTPS支持说明和防火墙配置指导

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/bitbrujo/side-peace/SKILL.md
来源类型：github