Téléchargements
Installez Clavitor sur votre machine.
Le CLI donne à vos agents un accès à portée limitée à votre coffre-fort. Le proxy injecte les identifiants dans les requêtes HTTPS de manière transparente. Les deux sont des binaires uniques avec zéro dépendance.
Télécharger
No binaries published yet. Run make publish-dev in clavitor-cli and clavitor-proxy to populate this page locally.
Extension de navigateur
Vous préférez remplir les identifiants dans le navigateur ? L'extension Clavitor dépose les mots de passe, passkeys, cartes et codes à usage unique dans le champ qui les attend réellement — pendant que votre coffre-fort reste distant, sans rien mettre en cache ni déchiffrer sur votre machine.
Disponible dès maintenant pour Chrome. Firefox et Safari bientôt.
Configurer un agent
Deux étapes. Moins d'une minute entre une installation CLI fraîche et un agent fonctionnel.
1. Créez l'agent dans votre coffre-fort
Dans l'interface web de votre coffre-fort, allez dans Agents → Nouveau. Nommez l'agent (par exemple, "Claude Code") et choisissez les entrées auxquelles il peut accéder. Clavitor renvoie un jeton de configuration — une seule chaîne qui encode l'adresse du coffre-fort, l'identité de l'agent et la clé de chiffrement dont il aura besoin.
Le jeton est à usage unique et de courte durée (15 minutes par défaut). Traitez-le comme un mot de passe : transmettez-le directement à la machine où l'agent s'exécute, puis supprimez-le.
2. Initialisez le CLI sur la machine de l'agent
$ clavitor-cli init <setup-token>
Le jeton est décodé et enregistré comme configuration locale chiffrée (~/.config/clavitor/agent.clv par défaut — permissions de fichier 0600). Le jeton d'origine est consommé et ne peut pas être réutilisé. La section suivante montre comment l'agent utilise le CLI à partir de ce point.
Configurer le proxy
Pour les agents qui parlent déjà HTTP/HTTPS — Claude Desktop, scripts personnalisés, tout ce qui utilise requests ou fetch. Le proxy se situe entre l'agent et l'API en amont, résolvant les espaces réservés clavitor://Entry/field sur le fil afin que l'agent ne détienne jamais l'identifiant réel. Voir la page d'architecture du proxy pour le modèle de menace et les détails du protocole.
Le guide est rédigé de manière conversationnelle afin qu'un humain ou un agent IA puisse le lire de bout en bout et l'exécuter sur une machine réelle. Choisissez votre système d'exploitation ci-dessous — chaque section est une procédure autonome en six étapes.
Avant de commencer : obtenez un jeton de configuration du coffre-fort
Vous avez besoin d'un jeton de configuration de votre coffre-fort. C'est la seule partie qu'un humain peut faire — le coffre-fort nécessite une authentification matérielle pour autoriser un nouvel agent.
Dans l'interface web du coffre-fort, allez dans Agents → Nouveau, nommez l'agent (par exemple, "Proxy Local"), choisissez les entrées auxquelles il peut accéder, et appuyez sur votre clé de sécurité lorsque vous y êtes invité. Clavitor renvoie un jeton de configuration à usage unique avec une durée de vie de 15 minutes. Copiez-le. Le reste des étapes ci-dessous vous demande de le coller une fois, puis de l'oublier.
Linux
Le guide ci-dessous utilise bash et suppose que vous êtes sur x86-64 ; remplacez arm64 par amd64 si vous êtes sur aarch64.
1. Téléchargez le binaire du proxy et rendez-le exécutable. Un binaire unique et autonome, sans dépendances :
$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-linux-amd64 $ chmod +x clavitor-proxy-linux-amd64
2. Le binaire est sur le disque. Maintenant, liez-le à votre coffre-fort. Le proxy lit le jeton de configuration depuis stdin (jamais depuis la ligne de commande, afin qu'il ne fuite pas dans l'historique de votre shell). Collez le jeton de "Avant de commencer" lorsque vous y êtes invité :
$ ./clavitor-proxy-linux-amd64 init Paste enrollment token, then press Enter: <paste-the-token-here> ✓ Authenticated.
Ce qui vient de se passer : le jeton a été déchiffré localement (pas d'appel réseau), l'adresse du coffre-fort + l'identité de l'agent + la clé de déchiffrement des identifiants ont été écrites dans un sidecar chiffré à ~/.config/clavitor-proxy/agent.clv (mode 0600), et le jeton lui-même est maintenant consommé. Vous n'en aurez plus besoin.
3. Exportez la CA racine du proxy. Le proxy va terminer chaque connexion HTTPS que votre agent effectue et réémettre un certificat pour chaque hôte en amont à la volée. Sans faire confiance à sa CA racine, ces certificats échoueraient à la vérification :
$ ./clavitor-proxy-linux-amd64 ca > clavitor-proxy-ca.pem
4. Installez la CA dans le magasin de confiance du système. Sur Debian/Ubuntu et dérivés :
$ sudo cp clavitor-proxy-ca.pem /usr/local/share/ca-certificates/clavitor-proxy-ca.crt $ sudo update-ca-certificates
update-ca-certificates devrait afficher 1 added. À partir de maintenant, chaque client HTTPS sur la machine (curl, requests de Python, net/http de Go, etc.) accepte les certificats du proxy comme légitimes.
5. Démarrez le proxy. Il se lie à 127.0.0.1:1983 et s'exécute au premier plan ; Ctrl-C l'arrête :
$ ./clavitor-proxy-linux-amd64 serve clavitor-proxy listening on 127.0.0.1:1983
Pour une configuration permanente, déposez une unité systemd pointant vers le même binaire afin qu'il redémarre au redémarrage — voir la documentation du proxy pour une unité de référence.
6. Pointez votre agent vers le proxy et vérifiez de bout en bout. Dans un autre shell :
$ export HTTPS_PROXY=http://127.0.0.1:1983 $ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models
Ce qui quitte réellement le proxy et atteint les serveurs d'OpenAI — la requête que votre agent ne voit jamais :
GET /v1/models HTTP/1.1 Host: api.openai.com Authorization: Bearer sk-proj-abc123def456ghi789… ← real key, injected by the proxy User-Agent: curl/8.4.0
Si vous recevez une réponse JSON d'OpenAI, tout est configuré. Le proxy a résolu clavitor://OpenAI/key par rapport au coffre-fort en utilisant la clé de déchiffrement des identifiants de l'étape 2, a substitué la vraie clé dans l'en-tête Authorization, et a transmis la requête en amont. Votre code d'agent ne contient que le placeholder ; la vraie clé ne quitte jamais la mémoire du processus du proxy.
macOS
Le guide ci-dessous utilise zsh (le shell par défaut sur macOS) et suppose Apple Silicon ; remplacez amd64 par arm64 si vous êtes sur un Mac Intel.
1. Téléchargez le binaire du proxy et rendez-le exécutable. Un binaire unique et autonome, sans dépendances :
$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-darwin-arm64 $ chmod +x clavitor-proxy-darwin-arm64
Si Gatekeeper de macOS refuse d'exécuter le binaire la première fois, faites un clic droit dessus dans le Finder, choisissez Ouvrir, et confirmez — cela enregistre l'exception. Après cela, l'invocation en ligne de commande fonctionne.
2. Le binaire est sur le disque. Maintenant, liez-le à votre coffre-fort. Le proxy lit le jeton de configuration depuis stdin (jamais depuis la ligne de commande, afin qu'il ne fuite pas dans l'historique de votre shell). Collez le jeton de "Avant de commencer" lorsque vous y êtes invité :
$ ./clavitor-proxy-darwin-arm64 init Paste enrollment token, then press Enter: <paste-the-token-here> ✓ Authenticated.
Ce qui vient de se passer : le jeton a été déchiffré localement (pas d'appel réseau), l'adresse du coffre-fort + l'identité de l'agent + la clé de déchiffrement des identifiants ont été écrites dans un sidecar chiffré à ~/.config/clavitor-proxy/agent.clv (mode 0600), et le jeton lui-même est maintenant consommé. Vous n'en aurez plus besoin.
3. Exportez la CA racine du proxy. Le proxy va terminer chaque connexion HTTPS que votre agent effectue et réémettre un certificat pour chaque hôte en amont à la volée. Sans faire confiance à sa CA racine, ces certificats échoueraient à la vérification :
$ ./clavitor-proxy-darwin-arm64 ca > clavitor-proxy-ca.pem
4. Installez la CA dans le Trousseau Système. Une commande, demande votre mot de passe sudo :
$ sudo security add-trusted-cert -d -r trustRoot \
-k /Library/Keychains/System.keychain clavitor-proxy-ca.pemAprès cela, Safari, curl, Swift, Python, Go, et la plupart des autres clients HTTPS sur la machine acceptent les certificats du proxy. (Un petit nombre de runtimes de langage expédient leur propre bundle de confiance et nécessitent une configuration séparée — vous verrez une erreur de certificat si c'est le cas.)
5. Démarrez le proxy. Il se lie à 127.0.0.1:1983 et s'exécute au premier plan ; Ctrl-C l'arrête :
$ ./clavitor-proxy-darwin-arm64 serve clavitor-proxy listening on 127.0.0.1:1983
Pour une configuration permanente, installez-le comme agent launchd afin qu'il démarre à la connexion et redémarre en cas de crash.
6. Pointez votre agent vers le proxy et vérifiez de bout en bout. Dans un autre shell :
$ export HTTPS_PROXY=http://127.0.0.1:1983 $ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models
Ce qui quitte réellement le proxy et atteint les serveurs d'OpenAI — la requête que votre agent ne voit jamais :
GET /v1/models HTTP/1.1 Host: api.openai.com Authorization: Bearer sk-proj-abc123def456ghi789… ← real key, injected by the proxy User-Agent: curl/8.4.0
Si vous recevez une réponse JSON d'OpenAI, tout est configuré. Le proxy a résolu clavitor://OpenAI/key par rapport au coffre-fort en utilisant la clé de déchiffrement des identifiants de l'étape 2, a substitué la vraie clé dans l'en-tête Authorization, et a transmis la requête en amont. Votre code d'agent ne contient que le placeholder ; la vraie clé ne quitte jamais la mémoire du processus du proxy.
Windows
Le guide ci-dessous utilise PowerShell et suppose Windows 64 bits ; remplacez windows-386.exe par windows-amd64.exe si vous êtes sur 32 bits.
1. Téléchargez le binaire du proxy. Un .exe unique et autonome, sans dépendances :
> Invoke-WebRequest https://clavitor.ai/downloads/clavitor-proxy-windows-amd64.exe `
-OutFile clavitor-proxy.exeWindows SmartScreen peut afficher un avertissement la première fois que vous exécutez un binaire non signé — cliquez sur Plus d'informations → Exécuter quand même pour le permettre.
2. Le binaire est sur le disque. Maintenant, liez-le à votre coffre-fort. Le proxy lit le jeton de configuration depuis stdin (jamais depuis la ligne de commande, afin qu'il ne fuite pas dans l'historique de votre PowerShell). Collez le jeton de "Avant de commencer" lorsque vous y êtes invité :
> .\clavitor-proxy.exe init Paste enrollment token, then press Enter: <paste-the-token-here> ✓ Authenticated.
Ce qui vient de se passer : le jeton a été déchiffré localement (pas d'appel réseau), l'adresse du coffre-fort + l'identité de l'agent + la clé de déchiffrement des identifiants ont été écrites dans un sidecar chiffré à %APPDATA%\clavitor-proxy\agent.clv, et le jeton lui-même est maintenant consommé. Vous n'en aurez plus besoin.
3. Exportez la CA racine du proxy. Le proxy va terminer chaque connexion HTTPS que votre agent effectue et réémettre un certificat pour chaque hôte en amont à la volée. Sans faire confiance à sa CA racine, ces certificats échoueraient à la vérification :
> .\clavitor-proxy.exe ca > clavitor-proxy-ca.pem
4. Installez la CA dans le magasin de racines de confiance de la machine locale. Ouvrez un PowerShell élevé (clic droit sur PowerShell → Exécuter en tant qu'administrateur) et exécutez :
> certutil -addstore -f "ROOT" clavitor-proxy-ca.pem
Après cela, Edge, .NET, curl.exe, et la plupart des clients HTTP sur la machine acceptent les certificats du proxy. (Firefox maintient son propre magasin de confiance ; si vous testez via Firefox, importez la CA séparément sous Paramètres → Confidentialité et sécurité → Certificats → Afficher les certificats → Autorités → Importer.)
5. Démarrez le proxy. Il se lie à 127.0.0.1:1983 et s'exécute au premier plan ; Ctrl-C l'arrête :
> .\clavitor-proxy.exe serve clavitor-proxy listening on 127.0.0.1:1983
Pour une configuration permanente, enregistrez-le comme service Windows ou tâche planifiée afin qu'il démarre au démarrage.
6. Pointez votre agent vers le proxy et vérifiez de bout en bout. Dans une autre fenêtre PowerShell :
> $env:HTTPS_PROXY = "http://127.0.0.1:1983"
> curl.exe -H "Authorization: Bearer clavitor://OpenAI/key" `
https://api.openai.com/v1/models(Utilisez curl.exe explicitement — l'alias curl de PowerShell pointe vers Invoke-WebRequest, qui gère la variable d'environnement du proxy différemment.) Ce qui quitte réellement le proxy et atteint les serveurs d'OpenAI — la requête que votre agent ne voit jamais :
GET /v1/models HTTP/1.1 Host: api.openai.com Authorization: Bearer sk-proj-abc123def456ghi789… ← real key, injected by the proxy User-Agent: curl/8.4.0
Si vous recevez une réponse JSON d'OpenAI, tout est configuré. Le proxy a résolu clavitor://OpenAI/key par rapport au coffre-fort en utilisant la clé de déchiffrement des identifiants de l'étape 2, a substitué la vraie clé dans l'en-tête Authorization, et a transmis la requête en amont. Votre code d'agent ne contient que le placeholder ; la vraie clé ne quitte jamais la mémoire du processus du proxy.
Installer la compétence Claude Code
Le CLI est livré avec une définition de compétence intégrée qui apprend à Claude Code à utiliser votre coffre-fort. Une commande l'installe.
# Install globally (all projects) $ clavitor-cli skill > ~/.claude/skills/clavitor.md # Or install for a specific project $ clavitor-cli skill > /path/to/project/.claude/skills/clavitor.md
La compétence est intégrée au binaire. Mettez-la à jour en téléchargeant une nouvelle version.
L'utiliser
Votre agent peut désormais récupérer des identifiants, générer des codes TOTP et stocker de nouveaux secrets. Chaque accès est consigné dans le journal d'audit du coffre-fort.
# Fetch a credential $ clavitor-cli get github # Generate a TOTP code $ clavitor-cli totp github # Store a new credential $ clavitor-cli put credential "AWS Prod" --username admin --password s3cret # List all entries $ clavitor-cli list
Un appel CLI. Tous les secrets.
Votre coffre-fort, vos portées, votre journal d'audit. Pas de variables d'environnement, pas de fichiers de configuration, pas de secrets dans les journaux.