Proxy thông tin xác thực

Các tác nhân của bạn thực hiện các lệnh gọi API.
Chúng không bao giờ được nắm giữ khóa.

Clavitor Proxy nằm giữa các tác nhân AI của bạn và các API mà chúng gọi. Thông tin xác thực được chèn vào tại lớp mạng — tác nhân không bao giờ nhìn thấy, lưu trữ hoặc ghi lại bí mật thực sự vào nhật ký. Một tệp nhị phân. Một biến môi trường. Không thay đổi mã.

Vấn đề bạn đang gặp phải

Bí mật trong biến môi trường

Các tác nhân của bạn đọc OPENAI_API_KEY từ môi trường. Khóa đó hiển thị trong /proc, trong các bản dump sự cố, trong nhật ký CI, trong mọi công cụ mà tác nhân gọi. Chỉ một dòng nhật ký bị lộ và khóa sẽ bị công khai.

Bí mật trong bộ nhớ tác nhân

Ngay cả khi tác nhân lấy khóa trong thời gian chạy, nó vẫn giữ khóa đó trong bộ nhớ trong suốt quá trình. Một kỹ năng bị xâm phạm, một vụ tiêm prompt, một bản dump gỡ lỗi — khóa đều nằm đó chờ bị lấy.

Không kiểm toán những gì đã được sử dụng

Khi một khóa API được chia sẻ dưới dạng chuỗi, không có bản ghi nào về tác nhân nào đã sử dụng nó, khi nào hoặc cho mục đích gì. Nếu khóa bị lộ, bạn sẽ luân chuyển nó và hy vọng. Không có dấu vết pháp y.

Các vấn đề chúng tôi hy vọng bạn không gặp phải

Khóa API trong mã nguồn

Được ghi cứng trong tệp cấu hình, được commit vào git, được mọi nhà phát triển và CI runner trong nhóm clone. Chỉ cần một fork công khai là nó sẽ xuất hiện trên bảng điều khiển quét bí mật của GitHub — hoặc tệ hơn là không xuất hiện.

Thông tin xác thực trong Slack

"Bạn có thể gửi cho tôi khóa Stripe không?" Dán vào DM, có thể tìm kiếm mãi mãi, được xuất vào mọi kho lưu trữ tuân thủ. Slack không phải là két an toàn. Email, Google Docs hay một ghi chú dán trên màn hình cũng không phải.

Tệp .env trên mọi máy tính xách tay

Mười hai nhà phát triển, mười hai bản sao thông tin xác thực production trong các tệp plaintext không bao giờ được luân chuyển. Một máy tính xách tay bị đánh cắp, một vụ rò rỉ ~/.bash_history, một công cụ sao lưu quá nhiệt tình — và bạn phải luân chuyển mọi khóa trong công ty lúc 2 giờ sáng.

Loại bỏ hoàn toàn thông tin xác thực khỏi tác nhân.

Proxy nằm giữa tác nhân và API. Tác nhân ghi một tham chiếu — clavitor://OpenAI/key — vào vị trí cần đặt bí mật. Proxy phân giải nó cục bộ, chèn thông tin xác thực thực vào yêu cầu HTTPS và chuyển tiếp. Nhật ký của tác nhân hiển thị chuỗi giữ chỗ. API nhận được khóa. Không có gì ở giữa lưu trữ nó.

Không có biến môi trường. Không có bí mật trong bộ nhớ. Không có thông tin xác thực trên dòng lệnh. Tác nhân không biết khóa, không thể làm lộ khóa, không thể bị lừa tiết lộ khóa.

$ export HTTPS_PROXY=http://127.0.0.1:1983

$ curl -H "Authorization: Bearer clavitor://OpenAI/key" \
    https://api.openai.com/v1/chat/completions

# The proxy resolved the placeholder. The agent never saw sk-proj-abc123.
# Neither did the logs, the crash dump, or the conversation history.

Hoạt động với bất kỳ tác nhân nào thực hiện lệnh gọi HTTPS: Claude Code, Codex, OpenClaw, CrewAI, LangChain, tập lệnh tùy chỉnh. Đặt một biến môi trường và các lệnh gọi API của tác nhân sẽ đi qua proxy. Không có SDK, không có plugin, không thay đổi mã.

Những gì xảy ra bên trong

Giải mã cục bộ, theo từng yêu cầu

Proxy lấy thông tin xác thực được mã hóa từ két an toàn và giải mã nó trên thiết bị. Plaintext chỉ tồn tại trong bộ nhớ tiến trình cho một yêu cầu HTTP, sau đó biến mất. Không có gì được lưu vào bộ nhớ đệm. Không có gì được ghi vào ổ đĩa. Mỗi yêu cầu đều được giải mã mới.

Ánh xạ các trường sang header

Bearer token, khóa API, Basic auth — proxy tự động ánh xạ nhãn trường két an toàn sang các HTTP header phù hợp. Hoặc tác nhân chọn chính xác trường bằng tham chiếu clavitor://. Dù bằng cách nào, thông tin xác thực sẽ được đặt đúng vị trí mà tác nhân không hề nhìn thấy nó.

Phạm vi, giới hạn tốc độ, kiểm toán

Két an toàn thực thi các ranh giới phạm vi và giới hạn tốc độ. Tác nhân truy cập quá nhiều thông tin xác thực khác nhau sẽ tự động bị khóa. Mọi truy cập đều được ghi vào nhật ký. Hãy đưa ID tác nhân vào chuỗi giữ chỗ — clavitor://agentid@Entry/field — để có nhật ký kiểm toán và giới hạn tốc độ cho từng tác nhân thông qua proxy dùng chung.

Triển khai

Một tệp nhị phân. Sidecar cho tác nhân. Không thay đổi cơ sở hạ tầng mạng.

Máy chủ một tác nhân

Tải xuống tệp nhị phân, chạy clavitor-proxy init với token đăng ký, đặt HTTPS_PROXY trên tác nhân. Xong. Theo mặc định, proxy bind tới 127.0.0.1:1983 (sidecar cho một tác nhân); đặt CLAVITOR_PROXY_LISTEN để bind tới địa chỉ khác khi một proxy phục vụ nhiều tác nhân trên mạng riêng.

Máy chủ nhiều tác nhân

Mỗi tác nhân nhận một bản sao tệp nhị phân riêng với tệp cấu hình sidecar riêng. Mỗi bản sao có phạm vi riêng, giới hạn tốc độ riêng, nhật ký kiểm toán riêng. Tác nhân A không thể thấy thông tin xác thực của Tác nhân B. Được cách ly theo thiết kế.

Các proxy lưu trữ trên đám mây là mục tiêu có giá trị cao.

Mọi proxy thông tin xác thực chạy trên đám mây — của bạn hay của người khác — đều là mục tiêu. Xâm nhập proxy, lấy toàn bộ thông tin xác thực của khách hàng. Đó không phải là rủi ro lý thuyết. Đó là mô hình kinh doanh của mọi dịch vụ proxy thông tin xác thực.

Proxy của Clavitor chạy trên cơ sở hạ tầng của bạn. Giải mã cục bộ. Thông tin xác thực chỉ tồn tại trong bộ nhớ tiến trình trong suốt một yêu cầu. Không có dịch vụ đám mây nào lưu giữ các khóa plaintext của bạn. Không có API endpoint nào phân phát bí mật của bạn. Không có gì để xâm nhập.

Các tác nhân của bạn đang thực hiện các lệnh gọi API.
Giữ chúng trong phạm vi cho phép.

Két an toàn của bạn, phạm vi của bạn, nhật ký kiểm toán của bạn. Proxy bổ sung một điểm thực thi ở lớp mạng mà không cần thay đổi mã nào cho tác nhân.

Bắt đầu Tìm hiểu sâu về kỹ thuật →

Các tác nhân của bạn thực hiện các lệnh gọi API.Chúng không bao giờ được nắm giữ khóa.