​

시크릿 적용 계획 규격

​

Plan file shape

{
  version: 1,
  protocolVersion: 1,
  targets: [
    {
      type: "models.providers.apiKey",
      path: "models.providers.openai.apiKey",
      pathSegments: ["models", "providers", "openai", "apiKey"],
      providerId: "openai",
      ref: { source: "env", provider: "default", id: "OPENAI_API_KEY" },
    },
    {
      type: "auth-profiles.api_key.key",
      path: "profiles.openai:default.key",
      pathSegments: ["profiles", "openai:default", "key"],
      agentId: "main",
      ref: { source: "env", provider: "default", id: "OPENAI_API_KEY" },
    },
  ],
}

​

Supported target scope

• SecretRef Credential Surface

​

Target type behavior

• target.type은 인식 가능한 값이어야 하며, 정규화된 target.path shape와 일치해야 합니다.

• models.providers.apiKey
• skills.entries.apiKey
• channels.googlechat.serviceAccount

​

Path validation rules

• type은 인식 가능한 target type이어야 합니다.
• path는 비어 있지 않은 dot path여야 합니다.
• pathSegments는 생략할 수 있습니다. 제공되면 정규화 결과가 path와 정확히 같아야 합니다.
• 금지된 segments는 거부됩니다: __proto__, prototype, constructor
• 정규화된 path는 target type에 등록된 path shape와 일치해야 합니다.
• providerId 또는 accountId가 있으면 path 안에 인코딩된 id와 일치해야 합니다.
• auth-profiles.json targets에는 agentId가 필요합니다.
• 새 auth-profiles.json mapping을 만들 때는 authProfileProvider를 포함해야 합니다.

​

Failure behavior

Invalid plan target path for models.providers.apiKey: models.providers.openai.baseUrl

​

Runtime and audit scope notes

• ref-only auth-profiles.json 항목 (keyRef, tokenRef)은 runtime resolution과 audit coverage에 포함됩니다.
• secrets apply는 supported openclaw.json targets, supported auth-profiles.json targets, optional scrub targets를 기록합니다.

​

Operator checks

# Validate plan without writes
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json --dry-run

# Then apply for real
openclaw secrets apply --from /tmp/openclaw-secrets-plan.json

​

Related docs

• Secrets Management
• CLI secrets
• SecretRef Credential Surface
• Configuration Reference