Blog Lançamentos Problemas Documentos Download Status Looking Glass Falar com Vendas
Rede Resiliência Recuperação Segurança Cofre Imutável Auditoria com evidência de adulteração Preços
Desenvolvedores
Visão geral do desenvolvedorCLI, SDKs, webhooks InfraestruturaDocker, K8s, Terraform, CI/CD. Agentes de IAClaude Code, Codex, Cursor, Hermes, OpenClaw. Ferramentas MSPDatto, NinjaOne, ConnectWise, N-able. Extensão de navegadorPreenchimento automático, login baseado em dispositivo, gerador Aplicativos móveisiOS e Android nativos Claude CodeTokens com âmbito limitado CodexIntegração OpenAI CursorModo agente Hermes AgentAgente Hermes da Nous Research OpenClawResolvedor de agente ImportarDe qualquer gerenciador de senhas
Recursos
Blog Lançamentos Problemas Documentos Download Status Looking Glass Falar com Vendas
Soluções
Consumidor SMB Enterprise MSP
Idioma
🇺🇸 English 🇮🇩 Bahasa Indonesia 🇩🇰 Dansk 🇩🇪 Deutsch 🇪🇸 Español 🇫🇷 Français 🇮🇹 Italiano 🇳🇱 Nederlands 🇳🇴 Norsk 🇵🇱 Polski 🇧🇷 Português 🇫🇮 Suomi 🇸🇪 Svenska 🇻🇳 Tiếng Việt 🇹🇷 Türkçe 🇷🇺 Русский 🇺🇦 Українська 🇮🇳 हिन्दी 🇹🇭 ไทย 🇨🇳 中文 🇯🇵 日本語 🇰🇷 한국어
Entrar Obtenha gratuitamente para sempre Comece

Downloads

Instale o Clavitor na sua máquina.

O CLI dá aos seus agentes acesso com âmbito limitado ao seu cofre. O proxy injeta credenciais em requisições HTTPS de forma transparente. Ambos são binários únicos com zero dependências.

Download

No binaries published yet. Run make publish-dev in clavitor-cli and clavitor-proxy to populate this page locally.

Extensão de navegador

Prefere preencher credenciais no navegador? A extensão Clavitor insere senhas, passkeys, cartões e códigos únicos no campo que realmente os deseja — enquanto seu cofre permanece remoto, sem nada em cache ou descriptografado em sua máquina.

Disponível agora para Chrome. Firefox e Safari em breve.

Instalar da Chrome Web StoreSaiba mais

Configure um agente

Dois passos. Menos de um minuto de uma nova instalação do CLI a uma identidade de agente funcional.

1. Crie o agente no seu cofre

Na interface web do seu cofre, vá para Agentes → Novo. Nomeie o agente (por exemplo, "Claude Code") e escolha quais entradas ele pode acessar. O Clavitor retorna um token de configuração — uma única string que codifica o endereço do cofre, a identidade do agente e a chave de criptografia que ele precisará.

O token é de uso único e de curta duração (15 minutos por padrão). Trate-o como uma senha: entregue-o diretamente à máquina onde o agente será executado e, em seguida, descarte-o.

2. Inicialize o CLI na máquina do agente

$ clavitor-cli init <setup-token>

O token é decodificado e salvo como configuração local criptografada (~/.config/clavitor/agent.clv por padrão — permissões de arquivo 0600). O token original é consumido e não pode ser reutilizado. A próxima seção mostra como o agente usa o CLI a partir deste ponto.

Configure o proxy

Para agentes que já se comunicam via HTTP/HTTPS — Claude Desktop, scripts personalizados, qualquer coisa que use requests ou fetch. O proxy fica entre o agente e a API upstream, resolvendo placeholders clavitor://Entry/field na rede para que o agente nunca detenha a credencial real. Veja a página de arquitetura do proxy para o modelo de ameaças e detalhes do protocolo.

O guia é escrito de forma conversacional para que um humano ou um agente de IA possa lê-lo de cima a baixo e executá-lo em uma máquina real. Escolha seu sistema operacional abaixo — cada seção é um procedimento autônomo de seis passos.

Antes de começar: obtenha um token de configuração do cofre

Você precisa de um token de configuração do seu cofre. Esta é a única parte que apenas um humano pode fazer — o cofre requer um toque de hardware para autorizar um novo agente.

Na interface web do cofre, vá para Agentes → Novo, nomeie o agente (por exemplo, "Local Proxy"), escolha quais entradas ele pode acessar e toque sua chave de segurança quando solicitado. O Clavitor retorna um token de configuração de uso único com um TTL de 15 minutos. Copie-o. O restante dos passos abaixo pede para você colá-lo uma vez e depois esquecê-lo.

Linux

O guia abaixo usa bash e assume que você está em x86-64; substitua arm64 por amd64 se você estiver em aarch64.

1. Baixe o binário do proxy e torne-o executável. Um único binário autônomo, sem dependências:

$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-linux-amd64
$ chmod +x clavitor-proxy-linux-amd64

2. O binário está no disco. Agora vincule-o ao seu cofre. O proxy lê o token de configuração do stdin (nunca da linha de comando, para que não vaze para o histórico do seu shell). Cole o token de "Antes de começar" quando solicitado:

$ ./clavitor-proxy-linux-amd64 init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

O que acabou de acontecer: o token foi descriptografado localmente (sem chamada de rede), o endereço do cofre + identidade do agente + chave de descriptografia de credenciais foram gravados em um sidecar criptografado em ~/.config/clavitor-proxy/agent.clv (modo 0600), e o próprio token foi consumido. Você não precisa mais dele.

3. Exporte a CA raiz do proxy. O proxy irá terminar todas as conexões HTTPS que seu agente fizer e emitir um certificado para cada host upstream em tempo real. Sem confiar em sua CA raiz, esses certificados falhariam na verificação:

$ ./clavitor-proxy-linux-amd64 ca > clavitor-proxy-ca.pem

4. Instale a CA no armazenamento de confiança do sistema. Em Debian/Ubuntu e derivados:

$ sudo cp clavitor-proxy-ca.pem /usr/local/share/ca-certificates/clavitor-proxy-ca.crt
$ sudo update-ca-certificates

update-ca-certificates deve exibir 1 added. A partir de agora, todos os clientes HTTPS na máquina (curl, requests do Python, net/http do Go, etc.) aceitam os certificados do proxy como legítimos.

5. Inicie o proxy. Ele se vincula a 127.0.0.1:1983 e é executado em primeiro plano; Ctrl-C o para:

$ ./clavitor-proxy-linux-amd64 serve
clavitor-proxy listening on 127.0.0.1:1983

Para uma configuração permanente, crie uma unidade systemd apontando para o mesmo binário para que ele reinicie na inicialização — veja os docs do proxy para uma unidade de referência.

6. Aponte seu agente para o proxy e verifique ponta a ponta. Em outro shell:

$ export HTTPS_PROXY=http://127.0.0.1:1983
$ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models

O que realmente sai do proxy e chega aos servidores da OpenAI — a requisição que seu agente nunca vê:

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

Se você receber uma resposta JSON da OpenAI, tudo está configurado. O proxy resolveu clavitor://OpenAI/key contra o cofre usando a chave de descriptografia de credenciais da etapa 2, substituiu a chave real no cabeçalho Authorization e encaminhou a requisição upstream. O código do seu agente contém apenas o placeholder; a chave real nunca sai da memória do processo do proxy.

macOS

O guia abaixo usa zsh (o shell padrão no macOS) e assume Apple Silicon; substitua amd64 por arm64 se você estiver em um Mac Intel.

1. Baixe o binário do proxy e torne-o executável. Um único binário autônomo, sem dependências:

$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-darwin-arm64
$ chmod +x clavitor-proxy-darwin-arm64

Se o Gatekeeper do macOS se recusar a executar o binário pela primeira vez, clique com o botão direito nele no Finder, escolha Abrir e confirme — isso registra a exceção. Depois disso, a invocação pela linha de comando funciona.

2. O binário está no disco. Agora vincule-o ao seu cofre. O proxy lê o token de configuração do stdin (nunca da linha de comando, para que não vaze para o histórico do seu shell). Cole o token de "Antes de começar" quando solicitado:

$ ./clavitor-proxy-darwin-arm64 init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

O que acabou de acontecer: o token foi descriptografado localmente (sem chamada de rede), o endereço do cofre + identidade do agente + chave de descriptografia de credenciais foram gravados em um sidecar criptografado em ~/.config/clavitor-proxy/agent.clv (modo 0600), e o próprio token foi consumido. Você não precisa mais dele.

3. Exporte a CA raiz do proxy. O proxy irá terminar todas as conexões HTTPS que seu agente fizer e emitir um certificado para cada host upstream em tempo real. Sem confiar em sua CA raiz, esses certificados falhariam na verificação:

$ ./clavitor-proxy-darwin-arm64 ca > clavitor-proxy-ca.pem

4. Instale a CA no System Keychain. Um comando, pede sua senha sudo:

$ sudo security add-trusted-cert -d -r trustRoot \
    -k /Library/Keychains/System.keychain clavitor-proxy-ca.pem

Após isso, Safari, curl, Swift, Python, Go e a maioria dos outros clientes HTTPS na máquina aceitam os certificados do proxy. (Um pequeno número de runtimes de linguagem envia seu próprio pacote de confiança e precisa de configuração separada — você verá um erro de certificado se for o caso.)

5. Inicie o proxy. Ele se vincula a 127.0.0.1:1983 e é executado em primeiro plano; Ctrl-C o para:

$ ./clavitor-proxy-darwin-arm64 serve
clavitor-proxy listening on 127.0.0.1:1983

Para uma configuração permanente, instale-o como um agente launchd para que ele inicie no login e reinicie em caso de falha.

6. Aponte seu agente para o proxy e verifique ponta a ponta. Em outro shell:

$ export HTTPS_PROXY=http://127.0.0.1:1983
$ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models

O que realmente sai do proxy e chega aos servidores da OpenAI — a requisição que seu agente nunca vê:

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

Se você receber uma resposta JSON da OpenAI, tudo está configurado. O proxy resolveu clavitor://OpenAI/key contra o cofre usando a chave de descriptografia de credenciais da etapa 2, substituiu a chave real no cabeçalho Authorization e encaminhou a requisição upstream. O código do seu agente contém apenas o placeholder; a chave real nunca sai da memória do processo do proxy.

Windows

O guia abaixo usa PowerShell e assume Windows de 64 bits; substitua windows-386.exe por windows-amd64.exe se você estiver em 32 bits.

1. Baixe o binário do proxy. Um único .exe autônomo, sem dependências:

> Invoke-WebRequest https://clavitor.ai/downloads/clavitor-proxy-windows-amd64.exe `
    -OutFile clavitor-proxy.exe

O Windows SmartScreen pode exibir um aviso na primeira vez que você executa um binário não assinado — clique em Mais informações → Executar mesmo assim para permiti-lo.

2. O binário está no disco. Agora vincule-o ao seu cofre. O proxy lê o token de configuração do stdin (nunca da linha de comando, para que não vaze para o histórico do seu PowerShell). Cole o token de "Antes de começar" quando solicitado:

> .\clavitor-proxy.exe init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

O que acabou de acontecer: o token foi descriptografado localmente (sem chamada de rede), o endereço do cofre + identidade do agente + chave de descriptografia de credenciais foram gravados em um sidecar criptografado em %APPDATA%\clavitor-proxy\agent.clv, e o próprio token foi consumido. Você não precisa mais dele.

3. Exporte a CA raiz do proxy. O proxy irá terminar todas as conexões HTTPS que seu agente fizer e emitir um certificado para cada host upstream em tempo real. Sem confiar em sua CA raiz, esses certificados falhariam na verificação:

> .\clavitor-proxy.exe ca > clavitor-proxy-ca.pem

4. Instale a CA no armazenamento de Raiz Confiável da Máquina Local. Abra um PowerShell elevado (Clique com o botão direito no PowerShell → Executar como administrador) e execute:

> certutil -addstore -f "ROOT" clavitor-proxy-ca.pem

Após isso, Edge, .NET, curl.exe e a maioria dos clientes HTTP na máquina aceitam os certificados do proxy. (O Firefox mantém seu próprio armazenamento de confiança; se você estiver testando através do Firefox, importe a CA separadamente em Configurações → Privacidade e Segurança → Certificados → Ver Certificados → Autoridades → Importar.)

5. Inicie o proxy. Ele se vincula a 127.0.0.1:1983 e é executado em primeiro plano; Ctrl-C o para:

> .\clavitor-proxy.exe serve
clavitor-proxy listening on 127.0.0.1:1983

Para uma configuração permanente, registre-o como um serviço do Windows ou tarefa agendada para que ele inicie na inicialização.

6. Aponte seu agente para o proxy e verifique ponta a ponta. Em outra janela do PowerShell:

> $env:HTTPS_PROXY = "http://127.0.0.1:1983"
> curl.exe -H "Authorization: Bearer clavitor://OpenAI/key" `
    https://api.openai.com/v1/models

(Use curl.exe explicitamente — o alias curl do PowerShell aponta para Invoke-WebRequest, que lida com a variável de ambiente do proxy de forma diferente.) O que realmente sai do proxy e chega aos servidores da OpenAI — a requisição que seu agente nunca vê:

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

Se você receber uma resposta JSON da OpenAI, tudo está configurado. O proxy resolveu clavitor://OpenAI/key contra o cofre usando a chave de descriptografia de credenciais da etapa 2, substituiu a chave real no cabeçalho Authorization e encaminhou a requisição upstream. O código do seu agente contém apenas o placeholder; a chave real nunca sai da memória do processo do proxy.

Instale a skill Claude Code

O CLI vem com uma definição de skill integrada que ensina o Claude Code a usar seu cofre. Um comando a instala.

# Install globally (all projects)
$ clavitor-cli skill > ~/.claude/skills/clavitor.md

# Or install for a specific project
$ clavitor-cli skill > /path/to/project/.claude/skills/clavitor.md

A skill está embutida no binário. Atualize-a baixando uma nova versão.

Use-a

Seu agente agora pode buscar credenciais, gerar códigos TOTP e armazenar novos segredos. Todo acesso é registrado na trilha de auditoria do cofre.

# Fetch a credential
$ clavitor-cli get github

# Generate a TOTP code
$ clavitor-cli totp github

# Store a new credential
$ clavitor-cli put credential "AWS Prod" --username admin --password s3cret

# List all entries
$ clavitor-cli list

Uma chamada CLI. Todos os segredos.

Seu cofre, seus escopos, sua trilha de auditoria. Sem variáveis de ambiente, sem arquivos de configuração, sem segredos em logs.

Comece grátisDocs do desenvolvedor