Jokainen agentti. Rajattu pääsy.
Täydellinen auditloki.

Miten agentin pääsy toimii

Holvisi myöntää rajattuja tunnuksia — jokainen tunniste antaa pääsyn tiettyihin kohteisiin. Agentti voi noutaa sen, mitä sille on nimetty, eikä voi löytää sitä, mitä sille ei ole nimetty. Ei ole agentille suunnattua päätepistettä, joka palauttaisi luettelon tunnistetiedoista. Ei hakua, ei selausta, ei luettelointia.

Jokainen käyttö kirjataan lokiin agentin tunnisteen, käytetyn tunnistetiedon, aikaleiman ja lähde-IP-osoitteen kanssa. Nopeusrajoitukset valvovat kolmea yksilöllistä tunnistetietoa minuutissa ja kymmentä tunnissa. Toinen rikkomus kahden tunnin sisällä laukaisee kovan lukituksen — agentti jäätyy, kunnes avaat sen laitteistoavaimellasi.

# One-time setup — paste the scoped token at the prompt, or pipe it in
$ echo "$CLAVITOR_TOKEN" | clavitor-cli init

# The agent can now fetch credentials within its scope
$ clavitor-cli get "GitHub Deploy" --field password
$ clavitor-cli totp "GitHub"
847203

# Anything outside scope is refused
$ clavitor-cli get "Stripe API" --field key
clavitor-cli: CV-2041: Access denied.

Agentti-integraatiot

Claude Code

# One-time setup; the skill is installed on first init
$ echo "$CLAVITOR_TOKEN" | clavitor-cli init

# Claude Code can now:
#   "get me the AWS credentials"
#   "what's the GitHub deploy token?"
#   "store this API key as 'Stripe Prod'"

Asennettu taito valvoo rajoituksia: yksi tunnistetieto kerrallaan, ei massaluettelointia, salaisuuksia ei koskaan heijasteta keskustelun tulosteeseen.

Codex (OpenAI)

# Codex uses the HTTPS proxy — no API key in the environment
$ export HTTPS_PROXY=http://localhost:1983
$ codex

Välityspalvelin ratkaisee clavitor://-viittaukset lähtevissä pyyntöotsikoissa. Avain ei koskaan pääse Codexin muistiin tai lokeihin.

OpenClaw

Korvaa kovakoodatut API-avaimet openclaw.json-tiedostossa holviviittauksilla:

{
  "providers": {
    "openrouter": {
      "apiKey": "clavitor://OpenRouter API/key"
    },
    "fireworks": {
      "apiKey": "clavitor://Fireworks.ai/key"
    }
  },
  "channels": {
    "discord": {
      "accounts": {
        "main": { "token": "clavitor://Discord Bot/token" }
      }
    }
  }
}

# Start with resolved config
$ clavitor-cli render openclaw.json | openclaw start --config -

Hermes

# Initialize with a scoped token (stdin keeps the secret out of argv)
$ echo "$CLAVITOR_TOKEN" | clavitor-cli init

# Hermes resolves credentials via the CLI skill,
# or through the proxy for API calls
$ export HTTPS_PROXY=http://localhost:1983
$ hermes start

Cursor / Windsurf / Aider

Kaikki agentit, jotka suorittavat komentorivikomentoja. Lisää projektin ohjeisiin:

# "Use clavitor-cli to retrieve secrets. Never ask the user for passwords."

CrewAI / LangChain / AutoGen

import subprocess

def get_secret(name, field="password"):
    return subprocess.check_output(
        ["clavitor-cli", "get", name, "--field", field]
    ).decode().strip()

# Use inline — don't store in a variable longer than needed
client = OpenAI(api_key=get_secret("OpenRouter API", "key"))

n8n / Make / Zapier

Käytä HTTPS-välityspalvelinta HTTP-pohjaisiin integraatioihin — tunnistetiedot ratkaistaan läpinäkyvästi pyyntöotsikoista:

$ export HTTPS_PROXY=http://localhost:1983
$ curl -H "Authorization: Bearer clavitor://Stripe API/key" \
  https://api.stripe.com/v1/charges

Monen agentin asetukset

Suoritatko useita agentteja eri projekteissa? Luo jokaiselle erillinen agentti. Jokainen agentti saa oman laajuutensa, omat nopeusrajoituksensa, oman auditlokinsa.

Jokainen pääsy kirjataan

Auditloki kirjaa, mikä agentti käytti mitäkin tunnistetietoa, milloin ja mistä.

# TIME                 ACTION    ENTRY               ACTOR
2026-03-08 10:23:14  read      github.com          cli:claude-code
2026-03-08 10:23:15  fill      github.com          cli:claude-code
2026-03-08 11:45:02  read      aws-production      cli:deploy-agent
2026-03-08 14:12:33  ai_read   openrouter.com      cli:codex