wip-1password 是一个专为 Claude Code 和 OpenClaw 等 AI 插件生态设计的无头(headless)1Password 密钥管理解决方案。它通过官方 JavaScript SDK 与服务账户(Service Account)深度集成,实现了完全脱离桌面应用、生物识别验证和弹窗提示的自动化密钥操作。该工具的核心价值在于能够在无需人工干预的前提下,安全地解析配置文件中的 op:// 引用、读取运行时所需的 API 密钥与令牌,并将新创建的密钥持久化存储至指定的保险库中。其设计初衷是服务于高度自动化的开发流程,例如容器化部署、CI/CD 流水线以及本地开发环境初始化等场景,确保敏感凭证始终处于受控且安全的状态。
核心功能特点
- 支持解析 openclaw.json 中的 op://vault/item/field 格式引用,实现配置即代码的无缝集成
- 提供 op_read_secret、op_list_items、op_write_secret 等原生 JS SDK 接口,可直接读写指定保险库内的条目字段
- 采用服务账户认证机制,全程无需桌面客户端或用户交互即可完成所有密钥操作
- 所有敏感数据仅在内存中存在,不会写入磁盘,有效降低泄露风险
- 兼容 OpenClaw 插件架构,可通过 resolveSecretRefs 函数批量解析多个 op:// 引用
- 严格限制仅能访问自定义保险库,无法触及 Shared、Employee 或 Private 内置保险库
适用场景
wip-1password 最适用于那些需要高度自动化且安全处理敏感凭据的开发与运维场景。在本地开发环境中,开发者可以通过在 openclaw.json 中定义 op:// 引用,让项目启动时自动加载来自 1Password 的 API 密钥或数据库密码,从而避免硬编码或明文存储配置文件。对于 CI/CD 流水线而言,该工具允许构建系统或服务账户在无人值守的情况下,从专用保险库中提取必要的令牌(如 GitHub Token、Docker Registry Credentials)以完成镜像推送或部署任务。此外,在容器化微服务架构中,每个服务实例均可通过环境变量注入由 wip-1password 动态解析出的密钥,既保证了安全性又简化了配置管理。由于其完全无头的设计理念,它特别适合运行在服务器、云函数或任何无法安装图形界面应用的轻量级环境中。