Inloggegevensproxy

Jouw AI-agenten doen API-aanroepen.
Ze mogen nooit de sleutels in handen krijgen.

Clavitor Proxy zit tussen jouw AI-agenten en de API's die ze aanroepen. Inloggegevens worden op netwerkniveau geïnjecteerd — de agent ziet, slaat op of logt nooit het echte geheim. Eén binary. Eén omgevingsvariabele. Geen codewijzigingen.

Het probleem dat je al hebt

Geheimen in omgevingsvariabelen

Jouw agenten lezen OPENAI_API_KEY uit de omgeving. Die sleutel is zichtbaar in /proc, in crash dumps, in CI-logs, in elke tool die de agent aanroept. Eén gelekte logregel en de sleutel is publiek.

Geheimen in het geheugen van de agent

Zelfs als de agent de sleutel tijdens runtime ophaalt, houdt hij deze in het geheugen voor de duur van het proces. Een gecompromitteerde skill, een promptinjectie, een debug dump — de sleutel is daar om mee te nemen.

Geen audit van wat er is gebruikt

Wanneer een API-sleutel als string wordt gedeeld, is er geen registratie van welke agent deze heeft gebruikt, wanneer, of waarvoor. Als de sleutel lekt, roteer je deze en hoop je het beste. Er is geen forensisch spoor.

De problemen die je hopelijk niet hebt

API-sleutels in broncode

Hardcoded in een configuratiebestand, gecommit naar git, gekloond door elke ontwikkelaar en CI-runner in het team. Eén publieke fork en het staat op het dashboard voor geheime scans van GitHub — of erger nog, dat doet het niet.

Inloggegevens in Slack

"Kun je me de Stripe-sleutel sturen?" Gekopieerd in een DM, voor altijd doorzoekbaar, geëxporteerd in elk compliance-archief. Slack is geen kluis. Dat geldt ook niet voor e-mail, Google Docs, of een plakbriefje op een monitor.

.env-bestanden op elke laptop

Twaalf ontwikkelaars, twaalf kopieën van productie-inloggegevens in platte tekstbestanden die nooit worden geroteerd. Eén gestolen laptop, één ~/.bash_history lek, één overdreven behulpzame back-uptool — en je roteert elke sleutel in het bedrijf om 2 uur 's nachts.

Haal inloggegevens volledig weg bij de agent.

De proxy zit tussen de agent en de API. De agent schrijft een verwijzing — clavitor://OpenAI/key — waar het geheim zou moeten komen. De proxy lost dit lokaal op, injecteert de echte inloggegevens in het HTTPS-verzoek en stuurt het door. De logs van de agent tonen de placeholder. De API ontvangt de sleutel. Niets ertussenin slaat het op.

Geen omgevingsvariabelen. Geen geheimen in het geheugen. Geen inloggegevens op de commandoregel. De agent kent de sleutel niet, kan de sleutel niet lekken, kan niet worden misleid om de sleutel te onthullen.

$ export HTTPS_PROXY=http://127.0.0.1:1983

$ curl -H "Authorization: Bearer clavitor://OpenAI/key" \
    https://api.openai.com/v1/chat/completions

# The proxy resolved the placeholder. The agent never saw sk-proj-abc123.
# Neither did the logs, the crash dump, or the conversation history.

Werkt met elke agent die HTTPS-aanroepen doet: Claude Code, Codex, OpenClaw, CrewAI, LangChain, aangepaste scripts. Stel één omgevingsvariabele in en de API-aanroepen van de agent stromen door de proxy. Geen SDK, geen plugin, geen code-wijzigingen.

Wat er onder de motorkap gebeurt

Lokaal ontsleutelen, per verzoek

De proxy haalt de versleutelde inloggegevens uit de kluis en ontsleutelt deze op het apparaat. De platte tekst bestaat in het procesgeheugen voor één HTTP-verzoek, daarna is het weg. Niets wordt in de cache opgeslagen. Niets wordt naar schijf geschreven. Elk verzoek wordt vers ontsleuteld.

Koppelt velden aan headers

Bearer tokens, API-sleutels, Basic auth — de proxy koppelt automatisch veldlabels uit de kluis aan de juiste HTTP-headers. Of de agent kiest het exacte veld met een clavitor://-verwijzing. Hoe dan ook, de inloggegevens komen op de juiste plaats terecht zonder dat de agent ze ooit ziet.

Scopes, snelheidslimieten, audit

De kluis handhaaft scopegrenzen en snelheidslimieten. Een agent die te veel verschillende inloggegevens benadert, wordt automatisch vergrendeld. Elke toegang wordt gelogd. Voeg een agent-ID toe aan de placeholder — clavitor://agentid@Entry/field — voor audit trails per agent en snelheidslimieten via een gedeelde proxy.

Implementatie

Eén binary. Sidecar voor de agent. Geen wijzigingen in netwerkinfrastructuur.

Host met één agent

Download de binary, voer clavitor-proxy init uit met de enrollmenttoken, stel HTTPS_PROXY in op de agent. Klaar. Standaard bindt de proxy aan 127.0.0.1:1983 (sidecar voor één agent); stel CLAVITOR_PROXY_LISTEN in om elders te binden wanneer één proxy meerdere agenten op een privénetwerk bedient.

Host met meerdere agenten

Elke agent krijgt zijn eigen kopie van de binary met zijn eigen sidecar-configuratiebestand. Elke kopie heeft zijn eigen scope, zijn eigen snelheidslimieten, zijn eigen auditlog. Agent A kan de inloggegevens van Agent B niet zien. Isolatie by design.

Cloud-gehoste proxies zijn doelen met een hoge waarde.

Elke inloggegevensproxy die in de cloud draait — de jouwe of die van iemand anders — is een doelwit. Breek de proxy, krijg de inloggegevens van elke klant. Dat is geen theoretisch risico. Het is het bedrijfsmodel van elke inloggegevensproxy-als-een-service.

De proxy van Clavitor draait op jouw infrastructuur. Ontsleutelt lokaal. De inloggegevens bestaan in het procesgeheugen voor de duur van één verzoek. Er is geen cloudservice die jouw sleutels in platte tekst vasthoudt. Er is geen API-eindpunt dat jouw geheimen serveert. Er is niets om te breken.

Jouw agenten doen al API-aanroepen.
Houd ze in hun eigen baan.

Jouw kluis, jouw scopes, jouw audit trail. De proxy voegt een handhavingspunt op netwerkniveau toe met nul code-wijzigingen aan de agent.

Aan de slag Technische deep dive →

Jouw AI-agenten doen API-aanroepen.Ze mogen nooit de sleutels in handen krijgen.