proton-pass

Proton Pass CLI 是 Proton 旗下端到端加密密码管理器的命令行界面工具，专为开发者和运维人员设计，提供全面的凭证与秘密管理功能。该 Skill 作为纯文档型指南，详细阐述了如何通过 CLI 管理保险库（Vault）、各类项目（登录凭证、SSH 密钥、邮箱别名、笔记等）、执行秘密注入以及集成 SSH Agent。

核心用法涵盖几大场景：首先是保险库与项目的全生命周期管理，包括创建、更新、删除、共享及成员权限管理；其次是 SSH 密钥的生成、导入与 Agent 集成，支持 Ed25519 和 RSA 格式，可直接替代本地 SSH 密钥存储；第三是强大的秘密注入功能，通过 pass-cli run 命令将环境变量中的 pass:// URI 引用替换为实际秘密值后执行命令，或使用 inject 命令处理模板文件，实现配置管理自动化；此外还支持 TOTP 代码生成、密码强度分析与生成、以及通过 Pass URI 语法（pass://vault/item/field）程序化访问秘密。

显著优点包括：端到端加密确保数据主权，支持零知识架构；灵活的密钥存储选项（系统 keyring、文件系统、环境变量），适应从个人电脑到 CI/CD 管道的各种环境；无缝的 SSH 工作流集成，可充当 SSH Agent 或向现有 Agent 加载密钥；秘密注入功能使应用程序无需修改即可安全获取凭证，避免敏感信息硬编码；完善的团队协作机制，支持基于角色的保险库共享（Viewer/Editor/Manager）。

潜在局限性不容忽视：目前处于 Beta 状态，API 和命令行接口可能存在变动；部分功能受限，如无法通过 CLI 更新 TOTP 或时间字段；T3 来源意味着该文档由社区维护，非 Proton 官方直接发布，可能存在信息滞后；Docker 等容器环境必须使用文件系统密钥存储（安全性低于系统 keyring）；对初学者而言，命令行学习曲线较陡。

该 Skill 特别适合 DevOps 工程师、后端开发者、系统管理员以及需要在 CI/CD 流程中安全注入秘密的自动化团队。对于已使用 Proton Pass 的 CLI 重度用户，这是提升工作效率的必备参考。

使用风险方面，除 Beta 软件固有的稳定性风险外，需特别注意密钥存储方式的选择：默认的系统 keyring 最安全，但 Docker 环境必须使用 PROTON_PASS_KEY_PROVIDER=fs，此时密钥与加密数据并列存储，需确保容器环境安全；文档中的安装命令使用 curl|bash 模式，尽管指向 proton.me 域名，用户仍需验证下载源真实性以防供应链攻击；此外，错误的权限配置（如过度共享保险库）可能导致敏感凭证泄露，建议遵循最小权限原则并定期审计成员访问。