← Back to Skills Marketplace
luis1213899

令牌管理中心

by luis1213899 · GitHub ↗ · v2.1.1 · MIT-0
cross-platform ✓ Security Clean
90
Downloads
0
Stars
0
Active Installs
5
Versions
Install in OpenClaw
/install creds-vault
Description
令牌与账号密钥管理中心 v2.1 — 集中管理所有第三方 API 令牌、账号密码、SSH 密钥。支持分类管理、过期提醒、密码生成、加密备份、使用统计、安全审计日志、防暴力破解、安全删除。
README (SKILL.md)

token-manager v2.1

令牌与账号密钥管理中心 v2.1。集中存储和管理所有敏感凭证,强化安全防护。

核心功能

功能 说明
自动截获 对话中出现凭证时 AI 自动检测并提示确认,确认后才保存,不会静默持久化
分类管理 按平台分类(社交媒体/云服务/开发工具/营销平台/其他)
过期提醒 记录 token 有效期,快过期自动提示
密码生成 生成安全随机密码(使用 secrets 加密随机数)
加密备份 AES-256-GCM + PBKDF2,防暴力破解(3次错锁1小时)
使用统计 记录每个 token 被读取的次数和时间
安全审计 所有操作(增/查/删/备份)全部记录到 secrets.audit.log
安全删除 删除 entry 前覆写所有字段值为不可读字符,再从 JSON 中移除
凭证值上限 单个 value 最大 2048 字符,防止内存耗尽

依赖声明

  • Python 3:运行所有脚本
  • pycryptodome(可选):仅在使用 backup.py 加密备份时需要。安装方式:pip install pycryptodome。若未安装,备份功能会提示安装

数据结构

{
  "categories": ["social", "cloud", "dev", "marketing", "other"],
  "entries": {
    "wechat": {
      "name": "微信公众号",
      "category": "social",
      "fields": {
        "appid": "wxd9f577d56948e564",
        "appsecret": "44b92c25b849a51226c224c4188ffd77"
      },
      "expire_at": null,
      "note": "luisclaw",
      "created_at": "2026-04-15",
      "read_count": 12,
      "last_read": "2026-04-15T20:00:00"
    }
  }
}

脚本说明

add.py — 添加令牌

python add.py \x3Ckey> \x3Cname> \x3Cfield=value>... [--category social|cloud|dev|marketing|other] [--expire YYYY-MM-DD]

# 示例
python add.py wechat "微信公众号" appid=YOUR_APPID appsecret=YOUR_APPSECRET --category social
python add.py openai "OpenAI API" api_key=sk-xxx --category dev
python add.py aws "AWS" access_key=xxx secret_key=xxx --category cloud

list.py — 列出所有令牌(脱敏)

python list.py                # 列出所有(脱敏)
python list.py --raw          # 列出所有(完整值,仅本地查看)
python list.py --expire       # 列出 7 天内即将过期
python list.py --expire --days 30   # 列出 30 天内过期
python list.py --category social    # 按分类筛选

get.py — 获取令牌

python get.py \x3Ckey> [field]
python get.py wechat appid        # 返回完整值(会记录读取次数)
python get.py wechat              # 显示完整 entry 信息

remove.py — 删除令牌

python remove.py \x3Ckey>

genpass.py — 密码生成器

python genpass.py              # 默认 24 位,字母+数字+符号
python genpass.py 16           # 指定长度
python genpass.py 32 --no-symbols   # 无符号,纯字母数字
python genpass.py 20 --numeric     # 仅数字
python genpass.py 16 --save github  # 生成并保存到 github 条目

backup.py — 加密备份

python backup.py                 # 加密导出到 secrets.json.enc
python backup.py --import backup.json.enc  # 解密导入(需输入密码)
python backup.py --check         # 检查备份文件完整性

⚠️ 需要 pip install pycryptodome。加密算法:AES-256-GCM + PBKDF2。

stats.py — 使用统计

python stats.py              # 显示所有 token 使用统计
python stats.py --top 5       # 显示读取次数最多的 5 个
python stats.py \x3Ckey>        # 显示单个 token 详情

migrate.py — 格式迁移

# 一次性迁移旧格式到 v2 格式
python migrate.py

autocapture.py — 自动截获(AI 对话中自动调用)

当 AI 在对话中检测到凭证信息时,自动解析并保存到 secrets.json

自动识别的凭证类型:

类型 匹配模式 自动分类
appid / appsecret AppID: xxx, appsecret=xxx social(微信)
api_key API_KEY=xxx, OPENAI_API_KEY=xxx dev
token token: xxx, ghp_xxx(20位+) dev
access_key / secret_key AWS 风格密钥 cloud
password password=xxx other 
# 检测凭证(仅预览,不保存)
python autocapture.py --text "AppID: wxd9f577d56948e564" --context "微信公众号"

# 检测并确认保存
python autocapture.py --text "AppID: wxd9f577d56948e564" --save

# 查看已保存的凭证
python autocapture.py --list

隐私说明:自动截获仅检测不保存,发现凭证后显示预览并提示「确认」后才写入 secrets.json。你随时可以拒绝。

安全说明

  • 文件权限 600(仅当前用户可读写)
  • 读取时自动脱敏:44b92c25b849a51226c224c4188ffd7744b92...fd77
  • 加密备份:AES-256-GCM + PBKDF2,密码长度至少8位
  • 防暴力破解:备份密码连续3次错误,锁定1小时
  • 安全删除:文件删除前覆写3次随机数据
  • 审计日志:所有操作记录到 secrets.audit.log,仅追加不可修改
  • 输入消毒:所有 key 只允许 [a-zA-Z0-9_\-],长度≤64,防止 injection
  • 不要将 secrets.json 提交到 Git

文件结构

token-manager/
├── _meta.json
├── SKILL.md
└── scripts/
    ├── add.py        # 添加令牌(审计日志)
    ├── list.py       # 列举令牌(脱敏)
    ├── get.py        # 获取令牌(审计日志)
    ├── remove.py     # 安全删除(覆写3次)
    ├── genpass.py    # 密码生成器(加密随机)
    ├── backup.py     # 加密备份(防暴力破解)
    ├── stats.py      # 使用统计
    ├── migrate.py    # 格式迁移
    ├── autocapture.py # 对话式自动截获(审计日志)
    └── audit.py      # 审计日志查看器
Usage Guidance
这是一个本地运行的凭证管理工具,代码和说明一致: - 优点:不含网络外联、也不请求外部凭据;备份可选加密(需 pycryptodome);审计和权限(chmod 600)有体现。 - 风险/注意点:secrets.json 默认以明文 JSON 存储,只有在你主动运行 backup.py 并设置密码时才会生成加密备份;确保文件权限和所在主机安全。autocapture 可以解析会话文本并提示保存 —— 当允许 AI 自动调用该功能时,要确保代理/环境不会在未经你同意的情况下把对话文本传入 autocapture 的保存路径(确认保存必须显式触发)。 - 建议:在信任此技能并启用自动检测前,手动审阅 scripts 目录;若需要加密备份,请安装并验证 pycryptodome;定期检查 secrets.audit.log;不要把 ~/.openclaw/workspace/secrets.json 上传或提交到远程仓库。
Capability Analysis
Type: OpenClaw Skill Name: creds-vault Version: 2.1.1 The creds-vault bundle is a well-implemented credential management system designed to store API tokens, passwords, and SSH keys locally. It includes robust security features such as AES-256-GCM encrypted backups (backup.py), mandatory file permissions (600), append-only audit logging (audit.py), and secure deletion that attempts to overwrite data before removal (remove.py). While it features an 'autocapture' module (autocapture.py) to detect credentials in conversation, the implementation and instructions (SKILL.md) explicitly require user confirmation before any data is persisted, and there is no evidence of data exfiltration, network activity, or unauthorized execution.
Capability Tags
cryptorequires-sensitive-credentials
Capability Assessment
Purpose & Capability
名称/描述和所包含的脚本(add/get/list/remove/genpass/backup/autocapture/stats/migrate/audit)一致,所有操作均针对本地 secrets.json 存储,未要求与声明无关的权限或外部凭据。依赖声明(Python3,pycryptodome 可选)也合理。
Instruction Scope
SKILL.md 的运行说明与脚本功能匹配;自动检测(autocapture)只检测并在 confirm=True 时才保存,脚本实现也遵循该行为。没有发现脚本会读取系统范围配置、环境变量或将凭证发送到外部网络。注意:autocapture 能解析会话文本 — 在启用时会处理任何传给它的会话文本,需谨慎授权 AI 自动调用。
Install Mechanism
没有安装规范(instruction-only / script bundle),不会从网络下载或在安装时写入任意位置。所需运行时仅为 Python3;加密备份依赖 pycryptodome(在 SKILL.md 中正确标注为可选)。
Credentials
不要求任何环境变量或外部凭据。所有文件访问均针对同一用户目录下的 ~/.openclaw/workspace(secrets.json、secrets.audit.log、secrets.json.enc、secrets.lock),这与其管理本地凭证的目的相符。
Persistence & Privilege
flags: always=false(默认),agent 可在需要时调用但不会被强制常驻;脚本只写入其自有文件路径,不修改其他技能或系统范围设置。
How to Use
  1. Make sure OpenClaw is installed (local or Docker)
  2. Run the install command in chat: /install creds-vault
  3. After installation, invoke the skill by name or use /creds-vault
  4. Provide required inputs per the skill's parameter spec and get structured output
Version History
v2.1.1
修复:autocapture 改为仅检测+需显式确认才保存(防静默持久化隐私风险);remove.py 正确实现 entry 级别覆写删除;backup.py 修复 pbkdf2 缺参数和 lock 未定义变量错误;SKILL.md 同步更新
v2.1.0
v2.1: 全面安全加固——操作审计日志(append-only)/防暴力破解(3次错锁1小时)/安全删除(覆写3次)/输入消毒(key格式验证)/secrets模块加密随机数
v2.0.2
新增 autocapture.py:对话式凭证自动截获;修复平台匹配误识别(wx 误匹配 api_key 值);修复分类覆盖逻辑;所有脚本语法验证通过
v2.0.1
移除有安全风险的 token_api.py(允许任意 skill 读取完整凭证);删除不存在的 crypto.py 引用;声明 pycryptodome 为可选依赖;移除 SKILL.md 中硬编码的 Windows 路径示例
v2.0.0
v2: 分类管理/过期提醒/密码生成器/加密备份/使用统计/API共享
Metadata
Slug creds-vault
Version 2.1.1
License MIT-0
All-time Installs 0
Active Installs 0
Total Versions 5
Frequently Asked Questions

What is 令牌管理中心?

令牌与账号密钥管理中心 v2.1 — 集中管理所有第三方 API 令牌、账号密码、SSH 密钥。支持分类管理、过期提醒、密码生成、加密备份、使用统计、安全审计日志、防暴力破解、安全删除。 It is an AI Agent Skill for Claude Code / OpenClaw, with 90 downloads so far.

How do I install 令牌管理中心?

Run "/install creds-vault" in the OpenClaw or Claude Code chat to install it in one step — no extra setup required.

Is 令牌管理中心 free?

Yes, 令牌管理中心 is completely free, licensed under MIT-0. You can download, install and use it at no cost.

Which platforms does 令牌管理中心 support?

令牌管理中心 is cross-platform and runs anywhere OpenClaw / Claude Code is available (cross-platform).

Who created 令牌管理中心?

It is built and maintained by luis1213899 (@luis1213899); the current version is v2.1.1.

More Skills
self-improving agent
Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Clau...
⬇ 463368 · by pskoett
Skill Vetter
Security-first skill vetting for AI agents. Use before installing any skill from ClawdHub, GitHub, or other sources. Checks for red flags, permission scope, and suspicious patterns.
⬇ 259467 · by spclaudehome
Polymarket
Query Polymarket prediction markets. Check odds, find trending markets, search events, track price movements.
⬇ 232503 · by joelchance
Self-Improving + Proactive Agent
Self-reflection + Self-criticism + Self-learning + Self-organizing memory. Agent evaluates its own work, catches mistakes, and improves permanently. Use when...
⬇ 200457 · by ivangdavila
Github
Interact with GitHub using the `gh` CLI. Use `gh issue`, `gh pr`, `gh run`, and `gh api` for issues, PRs, CI runs, and advanced queries.
⬇ 191163 · by steipete
ontology
Typed knowledge graph for structured agent memory and composable skills. Use when creating/querying entities (Person, Project, Task, Event, Document), linkin...
⬇ 190189 · by oswalpalash

💬 Comments