名称： bitwarden
描述： 设置并使用 Bitwarden CLI (bw)。适用于安装 CLI、身份验证（登录/解锁）或从保险库读取密钥。支持邮箱/密码、API 密钥和 SSO 身份验证方式。
主页： https://bitwarden.com/help/cli/
元数据： {"clawdbot":{"emoji":"🔒","requires":{"bins":["bw"]},"install":[{"id":"npm","kind":"npm","package":"@bitwarden/cli","bins":["bw"],"label":"通过 npm 安装 Bitwarden CLI"},{"id":"brew","kind":"brew","formula":"bitwarden-cli","bins":["bw"],"label":"通过 brew 安装 Bitwarden CLI"},{"id":"choco","kind":"choco","package":"bitwarden-cli","bins":["bw"],"label":"通过 choco 安装 Bitwarden CLI"}]}}

Bitwarden CLI 技能

Bitwarden 命令行界面 (CLI) 提供了对您 Bitwarden 保险库的完整访问权限，可编程地检索密码、安全笔记和其他密钥。

工作流要求

关键提示： 务必在专用的 tmux 会话中运行 bw 命令。CLI 在身份验证后，所有保险库操作都需要会话密钥 (BW_SESSION)。tmux 会话可跨命令保留此环境变量。

必需工作流

1. 验证 CLI 安装：运行 bw --version 确认 CLI 可用。
2. 创建专用 tmux 会话：tmux new-session -d -s bw-session。
3. 附加会话并认证：在会话内运行 bw login 或 bw unlock。
4. 导出会话密钥：解锁后，按 CLI 指示导出 BW_SESSION。
5. 执行保险库命令：在同一会话中使用 bw get、bw list 等命令。

身份验证方法

使用邮箱/密码 bw login 后，保险库会自动解锁。对于 API 密钥或 SSO 登录，您必须随后运行 bw unlock 来解密保险库。

会话密钥管理

解锁命令会输出一个会话密钥。您必须导出它：

# Bash/Zsh
export BW_SESSION="<从解锁命令获取的会话密钥>"

# 或自动捕获
export BW_SESSION=$(bw unlock --raw)

会话密钥在您运行 bw lock 或 bw logout 之前一直有效。它们不会跨终端窗口持久化——因此需要使用 tmux。

读取密钥

# 按项目名称获取密码
bw get password "GitHub"

# 获取用户名
bw get username "GitHub"

# 获取 TOTP 代码
bw get totp "GitHub"

# 获取完整项目（JSON 格式）
bw get item "GitHub"

# 获取特定字段
bw get item "GitHub" | jq -r '.fields[] | select(.name=="api_key") | .value'

# 列出所有项目
bw list items

# 搜索项目
bw list items --search "github"

安全准则

• 切勿在日志、代码或用户可见的命令输出中暴露密钥。
• 切勿将密钥写入磁盘，除非绝对必要。
• 始终在完成保险库操作后使用 bw lock。
• 优先将密钥直接读入环境变量或通过管道传递给命令。
• 如果收到“Vault is locked”错误，请使用 bw unlock 重新认证。
• 如果收到“You are not logged in”错误，请先运行 bw login。
• 如果系统上无法使用 tmux，请停止操作并请求协助。

环境变量

自托管服务器

对于 Vaultwarden 或自托管的 Bitwarden：

bw config server https://your-bitwarden-server.com

参考文档

• 入门指南 - 安装和初始设置
• CLI 示例 - 常见使用模式和高级操作