功能描述

令牌与账号密钥管理中心 v2.1 — 集中管理所有第三方 API 令牌、账号密码、SSH 密钥。支持分类管理、过期提醒、密码生成、加密备份、使用统计、安全审计日志、防暴力破解、安全删除。

使用说明 (SKILL.md)

token-manager v2.1

Name: 令牌管理中心
Author: luis1213899

令牌与账号密钥管理中心 v2.1。集中存储和管理所有敏感凭证，强化安全防护。

核心功能

功能	说明
自动截获	对话中出现凭证时 AI 自动检测并提示确认，确认后才保存，不会静默持久化
分类管理	按平台分类（社交媒体/云服务/开发工具/营销平台/其他）
过期提醒	记录 token 有效期，快过期自动提示
密码生成	生成安全随机密码（使用 `secrets` 加密随机数）
加密备份	AES-256-GCM + PBKDF2，防暴力破解（3次错锁1小时）
使用统计	记录每个 token 被读取的次数和时间
安全审计	所有操作（增/查/删/备份）全部记录到 `secrets.audit.log`
安全删除	删除 entry 前覆写所有字段值为不可读字符，再从 JSON 中移除
凭证值上限	单个 value 最大 2048 字符，防止内存耗尽

依赖声明

Python 3：运行所有脚本
pycryptodome（可选）：仅在使用 backup.py 加密备份时需要。安装方式：pip install pycryptodome。若未安装，备份功能会提示安装

数据结构

{
  "categories": ["social", "cloud", "dev", "marketing", "other"],
  "entries": {
    "wechat": {
      "name": "微信公众号",
      "category": "social",
      "fields": {
        "appid": "wxd9f577d56948e564",
        "appsecret": "44b92c25b849a51226c224c4188ffd77"
      },
      "expire_at": null,
      "note": "luisclaw",
      "created_at": "2026-04-15",
      "read_count": 12,
      "last_read": "2026-04-15T20:00:00"
    }
  }
}

脚本说明

add.py — 添加令牌

python add.py \x3Ckey> \x3Cname> \x3Cfield=value>... [--category social|cloud|dev|marketing|other] [--expire YYYY-MM-DD]

# 示例
python add.py wechat "微信公众号" appid=YOUR_APPID appsecret=YOUR_APPSECRET --category social
python add.py openai "OpenAI API" api_key=sk-xxx --category dev
python add.py aws "AWS" access_key=xxx secret_key=xxx --category cloud

list.py — 列出所有令牌（脱敏）

python list.py                # 列出所有（脱敏）
python list.py --raw          # 列出所有（完整值，仅本地查看）
python list.py --expire       # 列出 7 天内即将过期
python list.py --expire --days 30   # 列出 30 天内过期
python list.py --category social    # 按分类筛选

get.py — 获取令牌

python get.py \x3Ckey> [field]
python get.py wechat appid        # 返回完整值（会记录读取次数）
python get.py wechat              # 显示完整 entry 信息

remove.py — 删除令牌

python remove.py \x3Ckey>

genpass.py — 密码生成器

python genpass.py              # 默认 24 位，字母+数字+符号
python genpass.py 16           # 指定长度
python genpass.py 32 --no-symbols   # 无符号，纯字母数字
python genpass.py 20 --numeric     # 仅数字
python genpass.py 16 --save github  # 生成并保存到 github 条目

backup.py — 加密备份

python backup.py                 # 加密导出到 secrets.json.enc
python backup.py --import backup.json.enc  # 解密导入（需输入密码）
python backup.py --check         # 检查备份文件完整性

⚠️ 需要 pip install pycryptodome。加密算法：AES-256-GCM + PBKDF2。

stats.py — 使用统计

python stats.py              # 显示所有 token 使用统计
python stats.py --top 5       # 显示读取次数最多的 5 个
python stats.py \x3Ckey>        # 显示单个 token 详情

migrate.py — 格式迁移

# 一次性迁移旧格式到 v2 格式
python migrate.py

autocapture.py — 自动截获（AI 对话中自动调用）

当 AI 在对话中检测到凭证信息时，自动解析并保存到 secrets.json。

自动识别的凭证类型：

类型	匹配模式	自动分类
`appid` / `appsecret`	`AppID: xxx`, `appsecret=xxx`	social（微信）
`api_key`	`API_KEY=xxx`, `OPENAI_API_KEY=xxx`	dev
`token`	`token: xxx`, `ghp_xxx`（20位+）	dev
`access_key` / `secret_key`	AWS 风格密钥	cloud
`password`	`password=xxx`	other

# 检测凭证（仅预览，不保存）
python autocapture.py --text "AppID: wxd9f577d56948e564" --context "微信公众号"

# 检测并确认保存
python autocapture.py --text "AppID: wxd9f577d56948e564" --save

# 查看已保存的凭证
python autocapture.py --list

隐私说明：自动截获仅检测不保存，发现凭证后显示预览并提示「确认」后才写入 secrets.json。你随时可以拒绝。

安全说明

文件权限 600（仅当前用户可读写）
读取时自动脱敏：44b92c25b849a51226c224c4188ffd77 → 44b92...fd77
加密备份：AES-256-GCM + PBKDF2，密码长度至少8位
防暴力破解：备份密码连续3次错误，锁定1小时
安全删除：文件删除前覆写3次随机数据
审计日志：所有操作记录到 secrets.audit.log，仅追加不可修改
输入消毒：所有 key 只允许 [a-zA-Z0-9_\-]，长度≤64，防止 injection
不要将 secrets.json 提交到 Git

文件结构

token-manager/
├── _meta.json
├── SKILL.md
└── scripts/
    ├── add.py        # 添加令牌（审计日志）
    ├── list.py       # 列举令牌（脱敏）
    ├── get.py        # 获取令牌（审计日志）
    ├── remove.py     # 安全删除（覆写3次）
    ├── genpass.py    # 密码生成器（加密随机）
    ├── backup.py     # 加密备份（防暴力破解）
    ├── stats.py      # 使用统计
    ├── migrate.py    # 格式迁移
    ├── autocapture.py # 对话式自动截获（审计日志）
    └── audit.py      # 审计日志查看器

安全使用建议

这是一个本地运行的凭证管理工具，代码和说明一致： - 优点：不含网络外联、也不请求外部凭据；备份可选加密（需 pycryptodome）；审计和权限（chmod 600）有体现。 - 风险/注意点：secrets.json 默认以明文 JSON 存储，只有在你主动运行 backup.py 并设置密码时才会生成加密备份；确保文件权限和所在主机安全。autocapture 可以解析会话文本并提示保存 —— 当允许 AI 自动调用该功能时，要确保代理/环境不会在未经你同意的情况下把对话文本传入 autocapture 的保存路径（确认保存必须显式触发）。 - 建议：在信任此技能并启用自动检测前，手动审阅 scripts 目录；若需要加密备份，请安装并验证 pycryptodome；定期检查 secrets.audit.log；不要把 ~/.openclaw/workspace/secrets.json 上传或提交到远程仓库。

功能分析

Type: OpenClaw Skill Name: creds-vault Version: 2.1.1 The creds-vault bundle is a well-implemented credential management system designed to store API tokens, passwords, and SSH keys locally. It includes robust security features such as AES-256-GCM encrypted backups (backup.py), mandatory file permissions (600), append-only audit logging (audit.py), and secure deletion that attempts to overwrite data before removal (remove.py). While it features an 'autocapture' module (autocapture.py) to detect credentials in conversation, the implementation and instructions (SKILL.md) explicitly require user confirmation before any data is persisted, and there is no evidence of data exfiltration, network activity, or unauthorized execution.

能力标签

cryptorequires-sensitive-credentials

能力评估

✓ Purpose & Capability

名称/描述和所包含的脚本（add/get/list/remove/genpass/backup/autocapture/stats/migrate/audit）一致，所有操作均针对本地 secrets.json 存储，未要求与声明无关的权限或外部凭据。依赖声明（Python3，pycryptodome 可选）也合理。

✓ Instruction Scope

SKILL.md 的运行说明与脚本功能匹配；自动检测（autocapture）只检测并在 confirm=True 时才保存，脚本实现也遵循该行为。没有发现脚本会读取系统范围配置、环境变量或将凭证发送到外部网络。注意：autocapture 能解析会话文本 — 在启用时会处理任何传给它的会话文本，需谨慎授权 AI 自动调用。

✓ Install Mechanism

没有安装规范（instruction-only / script bundle），不会从网络下载或在安装时写入任意位置。所需运行时仅为 Python3；加密备份依赖 pycryptodome（在 SKILL.md 中正确标注为可选）。

✓ Credentials

不要求任何环境变量或外部凭据。所有文件访问均针对同一用户目录下的 ~/.openclaw/workspace（secrets.json、secrets.audit.log、secrets.json.enc、secrets.lock），这与其管理本地凭证的目的相符。

✓ Persistence & Privilege

flags: always=false（默认），agent 可在需要时调用但不会被强制常驻；脚本只写入其自有文件路径，不修改其他技能或系统范围设置。

版本历史

v2.1.1

修复：autocapture 改为仅检测+需显式确认才保存（防静默持久化隐私风险）；remove.py 正确实现 entry 级别覆写删除；backup.py 修复 pbkdf2 缺参数和 lock 未定义变量错误；SKILL.md 同步更新

v2.1.0

v2.1: 全面安全加固——操作审计日志(append-only)/防暴力破解(3次错锁1小时)/安全删除(覆写3次)/输入消毒(key格式验证)/secrets模块加密随机数

v2.0.2

新增 autocapture.py：对话式凭证自动截获；修复平台匹配误识别（wx 误匹配 api_key 值）；修复分类覆盖逻辑；所有脚本语法验证通过

v2.0.1

移除有安全风险的 token_api.py（允许任意 skill 读取完整凭证）；删除不存在的 crypto.py 引用；声明 pycryptodome 为可选依赖；移除 SKILL.md 中硬编码的 Windows 路径示例

v2.0.0

v2: 分类管理/过期提醒/密码生成器/加密备份/使用统计/API共享

元数据

Slug creds-vault

版本 2.1.1

许可证 MIT-0

累计安装 0

当前安装数 0

历史版本数 5

常见问题

令牌管理中心是什么？

令牌与账号密钥管理中心 v2.1 — 集中管理所有第三方 API 令牌、账号密码、SSH 密钥。支持分类管理、过期提醒、密码生成、加密备份、使用统计、安全审计日志、防暴力破解、安全删除。它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件，目前累计下载 90 次。

如何安装令牌管理中心？

在 OpenClaw 或 Claude Code 对话框中运行命令「/install creds-vault」即可一键安装，无需额外配置。

令牌管理中心是免费的吗？

是的，令牌管理中心完全免费，采用 MIT-0 许可证，可自由下载、安装和使用。

令牌管理中心支持哪些平台？

令牌管理中心跨平台运行，可在任意部署了 OpenClaw / Claude Code 的环境中使用（cross-platform）。

谁开发了令牌管理中心？

由 luis1213899（@luis1213899）开发并维护，当前版本 v2.1.1。

令牌管理中心