​

openclaw secrets

• reload: secret ref를 다시 해석하고 전체 성공 시에만 런타임 스냅샷을 교체하는 게이트웨이 RPC (secrets.reload)입니다. 설정 파일을 쓰지 않습니다.
• audit: 구성/auth/생성된 모델 저장소와 레거시 잔여물을 읽기 전용으로 스캔하여 평문, 미해결 ref, 우선순위 drift를 찾습니다.
• configure: 프로바이더 설정, 대상 매핑, 사전검사를 위한 대화형 planner입니다 (TTY 필요).
• apply: 저장된 계획을 실행합니다 (--dry-run은 검증만 수행). 이후 지정된 평문 잔여물을 scrub합니다.

openclaw secrets audit --check
openclaw secrets configure
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json
openclaw secrets audit --check
openclaw secrets reload

• audit --check는 발견 사항이 있으면 1을 반환합니다.
• 미해결 ref는 2를 반환합니다.

• 비밀 관리 가이드: Secrets Management
• 자격 증명 표면: SecretRef Credential Surface
• 보안 가이드: Security

​

런타임 스냅샷 다시 불러오기

openclaw secrets reload
openclaw secrets reload --json

• 게이트웨이 RPC 메서드 secrets.reload를 사용합니다.
• 해석에 실패하면 게이트웨이는 마지막으로 정상 동작하던 스냅샷을 유지하고 오류를 반환합니다 (부분 활성화 없음).
• JSON 응답에는 warningCount가 포함됩니다.

​

감사

• 평문 비밀 저장
• 미해결 ref
• 우선순위 drift (auth-profiles.json 자격 증명이 openclaw.json ref를 가리는 경우)
• 생성된 agents/*/agent/models.json 잔여물 (provider apiKey 값과 민감한 provider header)
• 레거시 잔여물 (legacy auth store 항목, OAuth reminder)

• 민감한 provider header 탐지는 이름 휴리스틱 기반입니다 (authorization, x-api-key, token, secret, password, credential 같은 공통 auth/credential header 이름과 조각).

openclaw secrets audit
openclaw secrets audit --check
openclaw secrets audit --json

• --check는 발견 사항이 있으면 non-zero로 종료합니다.
• 미해결 ref는 더 높은 우선순위의 non-zero 종료 코드를 사용합니다.

• status: clean | findings | unresolved
• summary: plaintextCount, unresolvedRefCount, shadowedRefCount, legacyResidueCount
• finding code:
  • PLAINTEXT_FOUND
  • REF_UNRESOLVED
  • REF_SHADOWED
  • LEGACY_RESIDUE