1Password CLI配置

技能简介

本技能用于配置和使用 1Password 命令行工具（op），支持 CLI 安装、桌面应用集成、登录授权及密钥读取/注入等操作。

业务背景

开发及运维团队可在命令行安全调用敏感凭证，避免密码硬编码或明文存储。通过CLI与桌面应用联动，实现密钥按需读取和动态注入，满足自动化脚本、CI/CD流水线及服务器管理的身份认证需求，同时降低凭证泄露风险。

落地案例：某DevOps工程师需在部署脚本中连接生产数据库。他使用op inject将数据库密码动态注入环境变量，脚本执行完毕后密钥不留痕迹；团队共享的Ansible playbook通过op run直接调用API密钥，无需在仓库中存放任何机密信息。所有操作均在tmux会话内完成授权，确保符合企业安全审计要求。

能做什么

• 安装并验证 1Password CLI 环境
• 启用与桌面应用的集成认证
• 单账户或多账户登录管理
• 通过 op 命令读取、注入或运行密钥
• 在隔离的 tmux 会话中执行敏感操作

使用说明

安装指令（macOS/Linux）：

brew install 1password-cli

配置步骤：

1. 检查操作系统和 shell 环境
2. 验证 CLI 安装：op --version
3. 确认桌面应用已解锁且集成已启用
4. 创建专用 tmux 会话（必须步骤，避免 TTY 隔离导致的重复授权）
5. 在 tmux 内执行登录：op signin
6. 验证身份：op whoami
7. 多账户场景使用 --account 参数或 OP_ACCOUNT 环境变量

tmux 会话示例：

SOCKET_DIR="${CLAWDBOT_TMUX_SOCKET_DIR:-${TMPDIR:-/tmp}/clawdbot-tmux-sockets}"
mkdir -p "$SOCKET_DIR"
SOCKET="$SOCKET_DIR/clawdbot-op.sock"
SESSION="op-auth-$(date +%Y%m%d-%H%M%S)"
tmux -S "$SOCKET" new -d -s "$SESSION" -n shell
tmux -S "$SOCKET" send-keys -t "$SESSION":0.0 -- "op signin --account my.1password.com" Enter

输入与输出

见下方输入与输出表格。

风险提示

• 禁止将密钥粘贴到日志、聊天记录或代码中
• 优先使用 op run 或 op inject，避免密钥落盘
• 必须在 tmux 会话内执行 op 命令，直接调用会导致授权失败
• 若提示”account is not signed in”，需在 tmux 内重新执行 op signin
• 无 tmux 环境时应停止操作并反馈

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/steipete/1password/SKILL.md
来源类型：GitHub 仓库