安全密钥交接

技能简介

Confidant 是一套用于 AI 代理与人类之间安全传递敏感信息的工具集。通过生成一次性安全链接，让用户在独立浏览器页面中输入 API 密钥、密码等凭证，避免聊天窗口暴露机密内容。

能做什么

• 创建加密通道接收用户提交的 API 密钥、访问令牌、密码等敏感数据
• 自动将接收到的凭证保存至指定配置文件（权限设为 600）
• 支持本地网络与远程用户两种场景（内置 localtunnel 自动穿透）
• 同时设置环境变量与文件存储，满足多种调用方式
• 提供服务器状态诊断，排查端口占用与隧道连接问题

使用说明

首次安装（每个环境执行一次）：

bash {skill}/scripts/setup.sh

其中 {skill} 为包含本 SKILL.md 文件的绝对路径，代理可在运行时解析：

SKILL_DIR=$(find "$HOME" -name "SKILL.md" -path "*/confidant/skill*" -exec dirname {} \; 2>/dev/null | head -1)
bash "$SKILL_DIR/scripts/setup.sh"

请求密钥（标准流程）：

1. 执行脚本生成安全链接：

   bash {skill}/scripts/request-secret.sh --label "OpenAI API Key" --service openai

2. 将返回的 URL 通过聊天发送给用户（必须步骤）
3. 等待用户在浏览器中打开链接并提交密钥
4. 脚本自动轮询接收结果，保存至 ~/.config/openai/api_key 后退出

远程用户使用：添加 --tunnel 参数启动公网隧道：

bash {skill}/scripts/request-secret.sh --label "API Key" --service openai --tunnel

常用参数组合：

• 保存到自定义路径：--save ~/.credentials/token.txt
• 同时设置环境变量：--env OPENAI_API_KEY（需配合 --service 或 --save）
• 仅接收不保存：省略 --service 和 --save
• JSON 输出：--json

服务诊断：

bash {skill}/scripts/check-server.sh

输入与输出

见下方输入与输出表格。

风险提示

• 严禁代理自行 curl/fetch 安全链接——该链接为面向人类的 Web 表单
• 禁止跳过 URL 分享步骤，用户必须通过聊天接收链接并在独立浏览器操作
• 不要主动轮询 API 检查密钥是否到达，由脚本内部处理
• 确认成功接收前不可继续后续操作
• 密钥提交后或 24 小时过期，超时需重新发起请求
• localtunnel 公网 URL 存在被第三方扫描风险，建议优先使用内网环境

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/ericsantos/confidant/SKILL.md
来源类型：GitHub 开源仓库