ติดตั้ง Clavitor บนเครื่องของคุณครับ

ดาวน์โหลด

No binaries published yet. Run make publish-dev in clavitor-cli and clavitor-proxy to populate this page locally.

ส่วนขยายเบราว์เซอร์

ต้องการกรอกข้อมูลรับรองในเบราว์เซอร์ใช่ไหมครับ ส่วนขยาย Clavitor จะป้อนรหัสผ่าน พาสคีย์ บัตร และรหัสแบบใช้ครั้งเดียวลงในฟิลด์ที่ต้องการโดยตรง โดยที่ห้องนิรภัยของคุณยังคงอยู่บนรีโมต และไม่มีการแคชหรือถอดรหัสใดๆ บนเครื่องของคุณครับ

พร้อมใช้งานแล้วสำหรับ Chrome และจะรองรับ Firefox และ Safari ในเร็วๆ นี้ครับ

ตั้งค่าเอเจนต์

สองขั้นตอน ใช้เวลาไม่ถึงนาทีจากการติดตั้ง CLI ใหม่ไปจนถึงการสร้างตัวตนเอเจนต์ที่พร้อมใช้งานครับ

1. สร้างเอเจนต์ในห้องนิรภัยของคุณ

ในเว็บ UI ของห้องนิรภัย ให้ไปที่ Agents → New ตั้งชื่อเอเจนต์ (เช่น "Claude Code") และเลือกรายการที่สามารถเข้าถึงได้ Clavitor จะส่งคืน โทเค็นการตั้งค่า ซึ่งเป็นสตริงเดียวที่เข้ารหัสที่อยู่ห้องนิรภัย ตัวตนของเอเจนต์ และคีย์การเข้ารหัสที่ต้องใช้ครับ

โทเค็นนี้ใช้ครั้งเดียวและมีอายุสั้น (15 นาทีตามค่าเริ่มต้น) ให้ปฏิบัติเหมือนรหัสผ่าน โดยส่งไปยังเครื่องที่เอเจนต์ทำงานอยู่โดยตรง แล้วลบทิ้งครับ

2. เริ่มต้น CLI บนเครื่องของเอเจนต์

$ clavitor-cli init <setup-token>

โทเค็นจะถูกถอดรหัสและบันทึกเป็นค่ากำหนดท้องถิ่นแบบเข้ารหัส (~/.config/clavitor/agent.clv ตามค่าเริ่มต้น — สิทธิ์ของไฟล์ 0600) โทเค็นเดิมจะถูกใช้ไปและไม่สามารถนำกลับมาใช้ใหม่ได้ ส่วนถัดไปจะแสดงวิธีที่เอเจนต์ใช้ CLI ต่อจากนี้ครับ

ตั้งค่าพร็อกซี

สำหรับเอเจนต์ที่รองรับ HTTP/HTTPS อยู่แล้ว เช่น Claude Desktop สคริปต์ที่กำหนดเอง หรืออะไรก็ตามที่ใช้ requests หรือ fetch พร็อกซีจะอยู่ระหว่างเอเจนต์และ API ต้นทาง โดยจะแปลง clavitor://Entry/field placeholder ขณะส่งข้อมูล เพื่อให้เอเจนต์ไม่เก็บข้อมูลรับรองจริงไว้ ดูรายละเอียดรูปแบบภัยคุกคามและโปรโตคอลได้ที่หน้าสถาปัตยกรรมพร็อกซีครับ

คู่มือนี้เขียนในรูปแบบสนทนาเพื่อให้มนุษย์หรือ AI เอเจนต์สามารถอ่านตั้งแต่ต้นจนจบและนำไปปฏิบัติบนเครื่องจริงได้ เลือก OS ของคุณด้านล่างนี้ แต่ละส่วนจะเป็นขั้นตอนหกขั้นตอนที่สมบูรณ์ในตัวเองครับ

ก่อนเริ่มต้น: รับโทเค็นการตั้งค่าจากห้องนิรภัย

คุณต้องใช้โทเค็นการตั้งค่าจากห้องนิรภัยของคุณ นี่เป็นส่วนเดียวที่มนุษย์เท่านั้นที่ต้องทำ เนื่องจากห้องนิรภัยต้องมีการแตะฮาร์ดแวร์คีย์เพื่ออนุญาตเอเจนต์ใหม่ครับ

ในเว็บ UI ของห้องนิรภัย ให้ไปที่ Agents → New ตั้งชื่อเอเจนต์ (เช่น "Local Proxy") เลือกรายการที่สามารถเข้าถึงได้ และแตะคีย์รักษาความปลอดภัยเมื่อได้รับแจ้ง Clavitor จะส่งคืนโทเค็นการตั้งค่าแบบใช้ครั้งเดียวที่มี TTL 15 นาที คัดลอกโทเค็นนี้ไว้ ขั้นตอนด้านล่างนี้จะให้คุณวางโทเค็นนี้เพียงครั้งเดียวแล้วลืมมันไปเลยครับ

Linux

คู่มือด้านล่างใช้ bash และสมมติว่าคุณกำลังใช้ x86-64 ให้เปลี่ยน arm64 เป็น amd64 หากคุณใช้ aarch64 ครับ

1. ดาวน์โหลดไบนารีพร็อกซีและทำให้สามารถเรียกทำงานได้ ไบนารีเดี่ยวที่สมบูรณ์ในตัวเอง ไม่ต้องพึ่งพาไลบรารีภายนอก:

$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-linux-amd64
$ chmod +x clavitor-proxy-linux-amd64

2. ไบนารีอยู่บนดิสก์แล้ว ตอนนี้เชื่อมโยงกับห้องนิรภัยของคุณ พร็อกซีจะอ่านโทเค็นการตั้งค่าจาก stdin (ไม่อ่านจากบรรทัดคำสั่ง เพื่อไม่ให้รั่วไหลไปยังประวัติเชลล์ของคุณ) วางโทเค็นจาก "ก่อนเริ่มต้น" เมื่อได้รับแจ้ง:

$ ./clavitor-proxy-linux-amd64 init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

สิ่งที่เพิ่งเกิดขึ้น: โทเค็นถูกถอดรหัสในเครื่อง (ไม่มีการเรียกใช้เครือข่าย) ที่อยู่ห้องนิรภัย + ตัวตนเอเจนต์ + คีย์ถอดรหัสข้อมูลรับรอง ถูกเขียนลงใน sidecar แบบเข้ารหัสที่ ~/.config/clavitor-proxy/agent.clv (โหมด 0600) และโทเค็นเองก็ถูกใช้ไปแล้ว คุณไม่จำเป็นต้องใช้อีกครับ

3. ส่งออก root CA ของพร็อกซี พร็อกซีจะยุติการเชื่อมต่อ HTTPS ทุกครั้งที่เอเจนต์ของคุณสร้าง และออกใบรับรองใหม่สำหรับแต่ละโฮสต์ต้นทางทันที หากไม่เชื่อถือ root CA ของพร็อกซี ใบรับรองเหล่านั้นจะไม่สามารถผ่านการตรวจสอบได้:

$ ./clavitor-proxy-linux-amd64 ca > clavitor-proxy-ca.pem

4. ติดตั้ง CA ลงในที่เก็บความเชื่อถือของระบบ บน Debian/Ubuntu และระบบที่พัฒนาต่อยอดมา:

$ sudo cp clavitor-proxy-ca.pem /usr/local/share/ca-certificates/clavitor-proxy-ca.crt
$ sudo update-ca-certificates

update-ca-certificates ควรพิมพ์ 1 added จากนี้ไป ไคลเอนต์ HTTPS ทุกตัวบนเครื่อง (curl, requests ของ Python, net/http ของ Go ฯลฯ) จะยอมรับใบรับรองของพร็อกซีว่าถูกต้องครับ

5. เริ่มทำงานพร็อกซี จะผูกกับ 127.0.0.1:1983 และทำงานในโฟร์กราวน์ กด Ctrl-C เพื่อหยุดทำงาน:

$ ./clavitor-proxy-linux-amd64 serve
clavitor-proxy listening on 127.0.0.1:1983

สำหรับการตั้งค่าถาวร ให้วาง systemd unit ที่ชี้ไปยังไบนารีเดิมเพื่อให้เริ่มทำงานใหม่เมื่อรีบูต ดู unit อ้างอิงได้ที่เอกสารพร็อกซีครับ

6. ชี้เอเจนต์ของคุณไปที่พร็อกซีและตรวจสอบแบบ end-to-end ในอีกเชลล์หนึ่ง:

$ export HTTPS_PROXY=http://127.0.0.1:1983
$ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models

สิ่งที่ออกจากพร็อกซีและไปถึงเซิร์ฟเวอร์ของ OpenAI จริงๆ ซึ่งเป็นคำขอที่เอเจนต์ของคุณไม่เคยเห็น:

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

หากคุณได้รับการตอบสนองเป็น JSON จาก OpenAI แสดงว่าทุกอย่างเชื่อมต่อเรียบร้อยแล้ว พร็อกซีได้แปลง clavitor://OpenAI/key กับห้องนิรภัยโดยใช้คีย์ถอดรหัสข้อมูลรับรองจากขั้นตอนที่ 2 แทนที่คีย์จริงลงในเฮดเดอร์ Authorization และส่งต่อคำขอไปยังต้นทาง โค้ดเอเจนต์ของคุณเก็บไว้เพียง placeholder เท่านั้น คีย์จริงจะไม่ออกจากหน่วยความจำกระบวนการของพร็อกซีเลยครับ

macOS

คู่มือด้านล่างใช้ zsh (เชลล์เริ่มต้นบน macOS) และสมมติว่าคุณกำลังใช้ Apple Silicon ให้เปลี่ยน amd64 เป็น arm64 หากคุณใช้ Intel Mac ครับ

1. ดาวน์โหลดไบนารีพร็อกซีและทำให้สามารถเรียกทำงานได้ ไบนารีเดี่ยวที่สมบูรณ์ในตัวเอง ไม่ต้องพึ่งพาไลบรารีภายนอก:

$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-darwin-arm64
$ chmod +x clavitor-proxy-darwin-arm64

หาก macOS Gatekeeper ปฏิเสธที่จะเรียกทำงานไบนารีในครั้งแรก ให้คลิกขวาที่ไฟล์ใน Finder เลือก Open และยืนยัน เพื่อลงทะเบียนข้อยกเว้น หลังจากนั้นการเรียกใช้ผ่านบรรทัดคำสั่งจะทำงานได้ปกติครับ

2. ไบนารีอยู่บนดิสก์แล้ว ตอนนี้เชื่อมโยงกับห้องนิรภัยของคุณ พร็อกซีจะอ่านโทเค็นการตั้งค่าจาก stdin (ไม่อ่านจากบรรทัดคำสั่ง เพื่อไม่ให้รั่วไหลไปยังประวัติเชลล์ของคุณ) วางโทเค็นจาก "ก่อนเริ่มต้น" เมื่อได้รับแจ้ง:

$ ./clavitor-proxy-darwin-arm64 init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

สิ่งที่เพิ่งเกิดขึ้น: โทเค็นถูกถอดรหัสในเครื่อง (ไม่มีการเรียกใช้เครือข่าย) ที่อยู่ห้องนิรภัย + ตัวตนเอเจนต์ + คีย์ถอดรหัสข้อมูลรับรอง ถูกเขียนลงใน sidecar แบบเข้ารหัสที่ ~/.config/clavitor-proxy/agent.clv (โหมด 0600) และโทเค็นเองก็ถูกใช้ไปแล้ว คุณไม่จำเป็นต้องใช้อีกครับ

3. ส่งออก root CA ของพร็อกซี พร็อกซีจะยุติการเชื่อมต่อ HTTPS ทุกครั้งที่เอเจนต์ของคุณสร้าง และออกใบรับรองใหม่สำหรับแต่ละโฮสต์ต้นทางทันที หากไม่เชื่อถือ root CA ของพร็อกซี ใบรับรองเหล่านั้นจะไม่สามารถผ่านการตรวจสอบได้:

$ ./clavitor-proxy-darwin-arm64 ca > clavitor-proxy-ca.pem

4. ติดตั้ง CA ลงใน System Keychain ใช้คำสั่งเดียว และจะขอรหัสผ่าน sudo ของคุณ:

$ sudo security add-trusted-cert -d -r trustRoot \
    -k /Library/Keychains/System.keychain clavitor-proxy-ca.pem

หลังจากนั้น Safari, curl, Swift, Python, Go และไคลเอนต์ HTTPS อื่นๆ ส่วนใหญ่บนเครื่องจะยอมรับใบรับรองของพร็อกซี (รันไทม์ของภาษาจำนวนน้อยมาพร้อมกับ trust bundle ของตัวเองและต้องตั้งค่าแยกต่างหาก ซึ่งจะแสดงข้อผิดพลาดของใบรับรองหากเป็นกรณีนี้) ครับ

5. เริ่มทำงานพร็อกซี จะผูกกับ 127.0.0.1:1983 และทำงานในโฟร์กราวน์ กด Ctrl-C เพื่อหยุดทำงาน:

$ ./clavitor-proxy-darwin-arm64 serve
clavitor-proxy listening on 127.0.0.1:1983

สำหรับการตั้งค่าถาวร ให้ติดตั้งเป็น launchd agent เพื่อให้เริ่มทำงานเมื่อล็อกอินและเริ่มทำงานใหม่เมื่อเกิดข้อผิดพลาดครับ

6. ชี้เอเจนต์ของคุณไปที่พร็อกซีและตรวจสอบแบบ end-to-end ในอีกเชลล์หนึ่ง:

$ export HTTPS_PROXY=http://127.0.0.1:1983
$ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models

สิ่งที่ออกจากพร็อกซีและไปถึงเซิร์ฟเวอร์ของ OpenAI จริงๆ ซึ่งเป็นคำขอที่เอเจนต์ของคุณไม่เคยเห็น:

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

หากคุณได้รับการตอบสนองเป็น JSON จาก OpenAI แสดงว่าทุกอย่างเชื่อมต่อเรียบร้อยแล้ว พร็อกซีได้แปลง clavitor://OpenAI/key กับห้องนิรภัยโดยใช้คีย์ถอดรหัสข้อมูลรับรองจากขั้นตอนที่ 2 แทนที่คีย์จริงลงในเฮดเดอร์ Authorization และส่งต่อคำขอไปยังต้นทาง โค้ดเอเจนต์ของคุณเก็บไว้เพียง placeholder เท่านั้น คีย์จริงจะไม่ออกจากหน่วยความจำกระบวนการของพร็อกซีเลยครับ

Windows

คู่มือด้านล่างใช้ PowerShell และสมมติว่าคุณกำลังใช้ Windows 64 บิต ให้เปลี่ยน windows-386.exe เป็น windows-amd64.exe หากคุณใช้ 32 บิตครับ

1. ดาวน์โหลดไบนารีพร็อกซี ไฟล์ .exe เดี่ยวที่สมบูรณ์ในตัวเอง ไม่ต้องพึ่งพาไลบรารีภายนอก:

> Invoke-WebRequest https://clavitor.ai/downloads/clavitor-proxy-windows-amd64.exe `
    -OutFile clavitor-proxy.exe

Windows SmartScreen อาจแสดงคำเตือนในครั้งแรกที่คุณเรียกทำงานไบนารีที่ไม่ได้ลงนาม คลิก More info → Run anyway เพื่ออนุญาตครับ

2. ไบนารีอยู่บนดิสก์แล้ว ตอนนี้เชื่อมโยงกับห้องนิรภัยของคุณ พร็อกซีจะอ่านโทเค็นการตั้งค่าจาก stdin (ไม่อ่านจากบรรทัดคำสั่ง เพื่อไม่ให้รั่วไหลไปยังประวัติ PowerShell ของคุณ) วางโทเค็นจาก "ก่อนเริ่มต้น" เมื่อได้รับแจ้ง:

> .\clavitor-proxy.exe init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

สิ่งที่เพิ่งเกิดขึ้น: โทเค็นถูกถอดรหัสในเครื่อง (ไม่มีการเรียกใช้เครือข่าย) ที่อยู่ห้องนิรภัย + ตัวตนเอเจนต์ + คีย์ถอดรหัสข้อมูลรับรอง ถูกเขียนลงใน sidecar แบบเข้ารหัสที่ %APPDATA%\clavitor-proxy\agent.clv และโทเค็นเองก็ถูกใช้ไปแล้ว คุณไม่จำเป็นต้องใช้อีกครับ

3. ส่งออก root CA ของพร็อกซี พร็อกซีจะยุติการเชื่อมต่อ HTTPS ทุกครั้งที่เอเจนต์ของคุณสร้าง และออกใบรับรองใหม่สำหรับแต่ละโฮสต์ต้นทางทันที หากไม่เชื่อถือ root CA ของพร็อกซี ใบรับรองเหล่านั้นจะไม่สามารถผ่านการตรวจสอบได้:

> .\clavitor-proxy.exe ca > clavitor-proxy-ca.pem

4. ติดตั้ง CA ลงในที่เก็บ Local Machine Trusted Root เปิด PowerShell ด้วยสิทธิ์ผู้ดูแลระบบ (คลิกขวาที่ PowerShell → Run as Administrator) และเรียกใช้:

> certutil -addstore -f "ROOT" clavitor-proxy-ca.pem

หลังจากนั้น Edge, .NET, curl.exe และไคลเอนต์ HTTP ส่วนใหญ่บนเครื่องจะยอมรับใบรับรองของพร็อกซี (Firefox มีที่เก็บความเชื่อถือของตัวเอง หากคุณทดสอบผ่าน Firefox ให้นำเข้า CA แยกต่างหากภายใต้ Settings → Privacy & Security → Certificates → View Certificates → Authorities → Import) ครับ

5. เริ่มทำงานพร็อกซี จะผูกกับ 127.0.0.1:1983 และทำงานในโฟร์กราวน์ กด Ctrl-C เพื่อหยุดทำงาน:

> .\clavitor-proxy.exe serve
clavitor-proxy listening on 127.0.0.1:1983

สำหรับการตั้งค่าถาวร ให้ลงทะเบียนเป็น Windows service หรือ scheduled task เพื่อให้เริ่มทำงานเมื่อบูตเครื่องครับ

6. ชี้เอเจนต์ของคุณไปที่พร็อกซีและตรวจสอบแบบ end-to-end ในหน้าต่าง PowerShell อีกหน้าต่างหนึ่ง:

> $env:HTTPS_PROXY = "http://127.0.0.1:1983"
> curl.exe -H "Authorization: Bearer clavitor://OpenAI/key" `
    https://api.openai.com/v1/models

(ใช้ curl.exe อย่างชัดเจน เนื่องจาก alias curl ของ PowerShell ชี้ไปที่ Invoke-WebRequest ซึ่งจัดการกับตัวแปรสภาพแวดล้อมของพร็อกซีต่างกัน) สิ่งที่ออกจากพร็อกซีและไปถึงเซิร์ฟเวอร์ของ OpenAI จริงๆ ซึ่งเป็นคำขอที่เอเจนต์ของคุณไม่เคยเห็น:

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

หากคุณได้รับการตอบสนองเป็น JSON จาก OpenAI แสดงว่าทุกอย่างเชื่อมต่อเรียบร้อยแล้ว พร็อกซีได้แปลง clavitor://OpenAI/key กับห้องนิรภัยโดยใช้คีย์ถอดรหัสข้อมูลรับรองจากขั้นตอนที่ 2 แทนที่คีย์จริงลงในเฮดเดอร์ Authorization และส่งต่อคำขอไปยังต้นทาง โค้ดเอเจนต์ของคุณเก็บไว้เพียง placeholder เท่านั้น คีย์จริงจะไม่ออกจากหน่วยความจำกระบวนการของพร็อกซีเลยครับ

ติดตั้งทักษะ Claude Code

CLI มาพร้อมกับคำจำกัดความทักษะในตัวที่สอนให้ Claude Code รู้วิธีใช้ห้องนิรภัยของคุณ ใช้คำสั่งเดียวในการติดตั้งครับ

# Install globally (all projects)
$ clavitor-cli skill > ~/.claude/skills/clavitor.md

# Or install for a specific project
$ clavitor-cli skill > /path/to/project/.claude/skills/clavitor.md

ทักษะนี้ฝังอยู่ในไบนารี อัปเดตได้โดยการดาวน์โหลดรีลีสใหม่ครับ

การใช้งาน

ตอนนี้เอเจนต์ของคุณสามารถดึงข้อมูลรับรอง สร้างรหัส TOTP และจัดเก็บความลับใหม่ได้แล้ว การเข้าถึงทุกครั้งจะถูกบันทึกในบันทึกการตรวจสอบของห้องนิรภัยครับ

# Fetch a credential
$ clavitor-cli get github

# Generate a TOTP code
$ clavitor-cli totp github

# Store a new credential
$ clavitor-cli put credential "AWS Prod" --username admin --password s3cret

# List all entries
$ clavitor-cli list