在您的机器上获取 Clavitor。

下载

No binaries published yet. Run make publish-dev in clavitor-cli and clavitor-proxy to populate this page locally.

浏览器扩展

更希望在浏览器中填充凭据？Clavitor 扩展程序会将密码、通行密钥、银行卡和一次性验证码直接填入目标字段——同时您的保管库保持远程托管，您的设备上不会缓存或解密任何数据。

现已支持 Chrome。Firefox 和 Safari 即将推出。

设置智能体

只需两步。从全新安装 CLI 到建立可用的智能体身份，不到一分钟。

1. 在保管库中创建智能体

在保管库的 Web UI 中，前往智能体 → 新建。为智能体命名（例如“Claude Code”）并选择其可访问的条目。Clavitor 会返回一个设置令牌——该单一字符串编码了保管库地址、智能体身份及其所需的加密密钥。

该令牌仅限单次使用且有效期较短（默认 15 分钟）。请像对待密码一样妥善保管：直接将其传递给运行智能体的机器，随后立即销毁。

2. 在智能体所在的机器上初始化 CLI

$ clavitor-cli init <setup-token>

令牌将被解码并保存为加密的本地配置（默认路径为 ~/.config/clavitor/agent.clv，文件权限为 0600）。原始令牌随即失效，无法重复使用。下一节将介绍智能体后续如何使用 CLI。

设置代理

适用于已支持 HTTP/HTTPS 的智能体——如 Claude Desktop、自定义脚本，或任何使用 requests 或 fetch 的程序。代理位于智能体与上游 API 之间，在传输过程中解析 clavitor://Entry/field 占位符，确保智能体永远不会持有实际凭据。有关威胁模型和协议详情，请参阅代理架构页面。

本指南采用通俗易懂的语言编写，无论是人类还是 AI 智能体，均可从头至尾阅读并在真实设备上执行。请在下方选择您的操作系统——每个部分均包含一个完整的六步操作流程。

开始之前：从保管库获取设置令牌

您需要从保管库获取一个设置令牌。此步骤必须由人类亲自完成——保管库需要通过触碰硬件密钥来授权新智能体。

在保管库的 Web UI 中，前往智能体 → 新建，为智能体命名（如“Local Proxy”），选择其可访问的条目，并在出现提示时触碰您的硬件密钥。Clavitor 会返回一个有效期（TTL）为 15 分钟的一次性设置令牌。请复制该令牌。后续步骤仅要求您粘贴一次，随后即可将其遗忘。

Linux

以下演练使用 bash 并假设您使用的是 x86-64 架构；如果您使用的是 aarch64，请将 amd64 替换为 arm64。

1. 下载代理二进制文件并赋予其可执行权限。 这是一个独立的单一二进制文件，无依赖项：

$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-linux-amd64
$ chmod +x clavitor-proxy-linux-amd64

2. 二进制文件已保存在磁盘上。现在将其绑定到您的保管库。 代理从标准输入读取设置令牌（绝不从命令行读取，以免泄露到 shell 历史记录中）。出现提示时，请粘贴“开始之前”获取的令牌：

$ ./clavitor-proxy-linux-amd64 init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

执行结果说明：令牌已在本地解密（无网络请求），保管库地址、智能体身份及凭据解密密钥已写入 ~/.config/clavitor-proxy/agent.clv 的加密附属文件中（权限模式 0600），且该令牌已失效。您无需再次使用它。

3. 导出代理的根 CA。 代理将终止智能体发起的每个 HTTPS 连接，并为每个上游主机动态重新颁发证书。如果不信任其根 CA，这些证书将无法通过验证：

$ ./clavitor-proxy-linux-amd64 ca > clavitor-proxy-ca.pem

4. 将 CA 安装至系统信任存储。 在 Debian/Ubuntu 及其衍生版本上：

$ sudo cp clavitor-proxy-ca.pem /usr/local/share/ca-certificates/clavitor-proxy-ca.crt
$ sudo update-ca-certificates

update-ca-certificates 应输出 1 added。此后，机器上的每个 HTTPS 客户端（curl、Python 的 requests、Go 的 net/http 等）都会将代理的证书视为合法证书予以接受。

5. 启动代理。 它将绑定到 127.0.0.1:1983 并在前台运行；按 Ctrl-C 可停止：

$ ./clavitor-proxy-linux-amd64 serve
clavitor-proxy listening on 127.0.0.1:1983

若需永久部署，请添加一个指向同一二进制文件的 systemd 单元，使其在重启后自动启动——请参阅代理文档获取参考单元配置。

6. 将智能体指向代理并验证端到端连接。 在另一个 shell 中：

$ export HTTPS_PROXY=http://127.0.0.1:1983
$ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models

实际离开代理并到达 OpenAI 服务器的内容——即您的智能体永远看不到的请求：

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

如果您收到来自 OpenAI 的 JSON 响应，则说明一切已配置就绪。代理使用步骤 2 中的凭据解密密钥，针对保管库解析了 clavitor://OpenAI/key，将真实密钥替换到 Authorization 标头中，并将请求转发至上游。您的智能体代码仅持有占位符；真实密钥绝不会离开代理的进程内存。

macOS

以下演练使用 zsh（macOS 默认 shell）并假设您使用的是 Apple Silicon 芯片；若您使用的是 Intel Mac，请将 arm64 替换为 amd64。

1. 下载代理二进制文件并赋予其可执行权限。 这是一个独立的单一二进制文件，无依赖项：

$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-darwin-arm64
$ chmod +x clavitor-proxy-darwin-arm64

若 macOS Gatekeeper 在首次运行时拦截该二进制文件，请在 Finder 中右键点击该文件，选择打开并确认——这将添加例外规则。此后即可正常通过命令行调用。

2. 二进制文件已保存在磁盘上。现在将其绑定到您的保管库。 代理从标准输入读取设置令牌（绝不从命令行读取，以免泄露到 shell 历史记录中）。出现提示时，请粘贴“开始之前”获取的令牌：

$ ./clavitor-proxy-darwin-arm64 init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

执行结果说明：令牌已在本地解密（无网络请求），保管库地址、智能体身份及凭据解密密钥已写入 ~/.config/clavitor-proxy/agent.clv 的加密附属文件中（权限模式 0600），且该令牌已失效。您无需再次使用它。

3. 导出代理的根 CA。 代理将终止智能体发起的每个 HTTPS 连接，并为每个上游主机动态重新颁发证书。如果不信任其根 CA，这些证书将无法通过验证：

$ ./clavitor-proxy-darwin-arm64 ca > clavitor-proxy-ca.pem

4. 将 CA 安装至系统钥匙串。 仅需一条命令，系统会提示您输入 sudo 密码：

$ sudo security add-trusted-cert -d -r trustRoot \
    -k /Library/Keychains/System.keychain clavitor-proxy-ca.pem

此后，Safari、curl、Swift、Python、Go 以及机器上的大多数其他 HTTPS 客户端都会接受代理的证书。（少数语言运行时自带信任捆绑包，需要单独配置——如果是这种情况，您会看到证书错误。）

5. 启动代理。 它将绑定到 127.0.0.1:1983 并在前台运行；按 Ctrl-C 可停止：

$ ./clavitor-proxy-darwin-arm64 serve
clavitor-proxy listening on 127.0.0.1:1983

若需永久部署，请将其作为 launchd 服务安装，使其在登录时启动并在崩溃后重启。

6. 将智能体指向代理并验证端到端连接。 在另一个 shell 中：

$ export HTTPS_PROXY=http://127.0.0.1:1983
$ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models

实际离开代理并到达 OpenAI 服务器的内容——即您的智能体永远看不到的请求：

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

如果您收到来自 OpenAI 的 JSON 响应，则说明一切已配置就绪。代理使用步骤 2 中的凭据解密密钥，针对保管库解析了 clavitor://OpenAI/key，将真实密钥替换到 Authorization 标头中，并将请求转发至上游。您的智能体代码仅持有占位符；真实密钥绝不会离开代理的进程内存。

Windows

以下演练使用 PowerShell 并假设您使用的是 64 位 Windows；如果您使用的是 32 位系统，请将 windows-amd64.exe 替换为 windows-386.exe。

1. 下载代理二进制文件。 这是一个独立的单一 .exe 文件，无依赖项：

> Invoke-WebRequest https://clavitor.ai/downloads/clavitor-proxy-windows-amd64.exe `
    -OutFile clavitor-proxy.exe

首次运行未签名的二进制文件时，Windows SmartScreen 可能会弹出警告——请点击更多信息 → 仍要运行以允许执行。

2. 二进制文件已保存在磁盘上。现在将其绑定到您的保管库。 代理从标准输入读取设置令牌（绝不从命令行读取，以免泄露到 PowerShell 历史记录中）。出现提示时，请粘贴“开始之前”获取的令牌：

> .\clavitor-proxy.exe init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

执行结果说明：令牌已在本地解密（无网络请求），保管库地址、智能体身份及凭据解密密钥已写入 %APPDATA%\clavitor-proxy\agent.clv 的加密附属文件中，且该令牌已失效。您无需再次使用它。

3. 导出代理的根 CA。 代理将终止智能体发起的每个 HTTPS 连接，并为每个上游主机动态重新颁发证书。如果不信任其根 CA，这些证书将无法通过验证：

> .\clavitor-proxy.exe ca > clavitor-proxy-ca.pem

4. 将 CA 安装至本地计算机的受信任根证书存储。 以管理员身份打开 PowerShell（右键点击 PowerShell → 以管理员身份运行）并执行：

> certutil -addstore -f "ROOT" clavitor-proxy-ca.pem

此后，Edge、.NET、curl.exe 以及机器上的大多数 HTTP 客户端都会接受代理的证书。（Firefox 维护自己的信任存储；如果您通过 Firefox 进行测试，请在设置 → 隐私与安全 → 证书 → 查看证书 → 证书机构 → 导入下单独导入 CA。）

5. 启动代理。 它将绑定到 127.0.0.1:1983 并在前台运行；按 Ctrl-C 可停止：

> .\clavitor-proxy.exe serve
clavitor-proxy listening on 127.0.0.1:1983

若需永久部署，请将其注册为 Windows 服务或计划任务，使其随系统开机自动启动。

6. 将智能体指向代理并验证端到端连接。 在另一个 PowerShell 窗口中：

> $env:HTTPS_PROXY = "http://127.0.0.1:1983"
> curl.exe -H "Authorization: Bearer clavitor://OpenAI/key" `
    https://api.openai.com/v1/models

（请显式使用 curl.exe——PowerShell 的 curl 别名指向 Invoke-WebRequest，其处理代理环境变量的方式有所不同。）实际离开代理并到达 OpenAI 服务器的内容——即您的智能体永远看不到的请求：

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

如果您收到来自 OpenAI 的 JSON 响应，则说明一切已配置就绪。代理使用步骤 2 中的凭据解密密钥，针对保管库解析了 clavitor://OpenAI/key，将真实密钥替换到 Authorization 标头中，并将请求转发至上游。您的智能体代码仅持有占位符；真实密钥绝不会离开代理的进程内存。

安装 Claude Code 技能

CLI 内置了技能定义文件，可指导 Claude Code 如何使用您的保管库。仅需一条命令即可完成安装。

# Install globally (all projects)
$ clavitor-cli skill > ~/.claude/skills/clavitor.md

# Or install for a specific project
$ clavitor-cli skill > /path/to/project/.claude/skills/clavitor.md

该技能已嵌入二进制文件中。如需更新，请下载最新版本。

开始使用

您的智能体现在可以获取凭据、生成 TOTP 验证码并存储新机密。所有访问操作均会记录在保管库的审计日志中。

# Fetch a credential
$ clavitor-cli get github

# Generate a TOTP code
$ clavitor-cli totp github

# Store a new credential
$ clavitor-cli put credential "AWS Prod" --username admin --password s3cret

# List all entries
$ clavitor-cli list