お使いのマシンにClavitorを導入してください。

ダウンロード

No binaries published yet. Run make publish-dev in clavitor-cli and clavitor-proxy to populate this page locally.

ブラウザ拡張機能

ブラウザで資格情報を入力する方はこちらが便利です。Clavitor拡張機能は、パスワード、パスキー、カード、ワンタイムコードを、入力が必要なフィールドに直接挿入します。ボールトはリモートに保持され、お使いのマシンにデータがキャッシュされたり復号されたりすることはありません。

現在Chromeで利用可能です。FirefoxとSafariも近日公開予定です。

エージェントのセットアップ

2つのステップ。CLIの新規インストールから、エージェントのIDが有効になるまで1分もかかりません。

1. ボールトにエージェントを作成する

ボールトのWeb UIで、Agents → Newに移動します。エージェントに名前を付け（例：「Claude Code」）、アクセスできるエントリを選択します。Clavitorはセットアップトークンを返します。これは、ボールトのアドレス、エージェントのID、および必要な暗号鍵をエンコードした単一の文字列です。

トークンは1回限りで、有効期限が短くなっています（デフォルトで15分）。パスワードと同じように扱ってください。エージェントが実行されるマシンに直接渡し、その後破棄します。

2. エージェントのマシンでCLIを初期化する

$ clavitor-cli init <setup-token>

トークンはデコードされ、暗号化されたローカル設定として保存されます（デフォルトでは~/.config/clavitor/agent.clv、ファイル権限は0600）。元のトークンは消費され、再利用できません。次のセクションでは、これ以降エージェントがCLIをどのように使用するかを示します。

プロキシのセットアップ

すでにHTTP/HTTPSに対応しているエージェント（Claude Desktop、カスタムスクリプト、requestsやfetchを使用するものなど）向け。プロキシはエージェントとアップストリームAPIの間に配置され、通信上でclavitor://Entry/fieldプレースホルダーを解決するため、エージェントが実際の資格情報を保持することはありません。脅威モデルとプロトコルの詳細については、プロキシアーキテクチャページを参照してください。

このウォークスルーは、人間またはAIエージェントが最初から最後まで読んで実際のマシンで実行できるように、わかりやすい文体で書かれています。以下のOSを選択してください。各セクションは、完結した6つの手順で構成されています。

開始する前に：ボールトからセットアップトークンを取得する

ボールトからセットアップトークンを取得する必要があります。これは人間のみが実行できる部分です。ボールトでは、新しいエージェントを承認するためにハードウェアキーのタッチが必要です。

ボールトのWeb UIでAgents → Newに移動し、エージェントに名前を付け（例：「Local Proxy」）、アクセスできるエントリを選択し、プロンプトが表示されたらセキュリティキーをタッチします。Clavitorは、TTLが15分の1回限りのセットアップトークンを返します。それをコピーします。以下の残りの手順では、それを1回貼り付けたら、あとは忘れるだけで構いません。

Linux

以下のウォークスルーではbashを使用し、x86-64環境を想定しています。aarch64環境の場合は、amd64をarm64に置き換えてください。

1. プロキシバイナリをダウンロードし、実行可能にします。 依存関係のない、単一の自己完結型バイナリです：

$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-linux-amd64
$ chmod +x clavitor-proxy-linux-amd64

2. バイナリがディスクに保存されました。次に、これをボールトにバインドします。 プロキシは標準入力からセットアップトークンを読み取ります（コマンドラインからは読み取らないため、シェル履歴に漏洩することはありません）。プロンプトが表示されたら、「開始する前に」で取得したトークンを貼り付けます：

$ ./clavitor-proxy-linux-amd64 init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

実行された内容：トークンはローカルで復号され（ネットワーク呼び出しなし）、ボールトのアドレス + エージェントID + 資格情報復号鍵が、~/.config/clavitor-proxy/agent.clv（モード0600）の暗号化されたサイドカーに書き込まれ、トークン自体は消費されました。これでトークンは不要です。

3. プロキシのルートCAをエクスポートします。 プロキシは、エージェントが確立するすべてのHTTPS接続を終端し、各アップストリームホストに対してその場で証明書を再発行します。ルートCAを信頼しない場合、これらの証明書は検証に失敗します：

$ ./clavitor-proxy-linux-amd64 ca > clavitor-proxy-ca.pem

4. CAをシステムのトラストストアにインストールします。 Debian/Ubuntuおよびその派生ディストリビューションの場合：

$ sudo cp clavitor-proxy-ca.pem /usr/local/share/ca-certificates/clavitor-proxy-ca.crt
$ sudo update-ca-certificates

update-ca-certificatesは1 addedと出力するはずです。これ以降、マシン上のすべてのHTTPSクライアント（curl、Pythonのrequests、Goのnet/httpなど）は、プロキシの証明書を正当なものとして受け入れます。

5. プロキシを起動します。 127.0.0.1:1983にバインドされ、フォアグラウンドで実行されます。Ctrl-Cで停止します：

$ ./clavitor-proxy-linux-amd64 serve
clavitor-proxy listening on 127.0.0.1:1983

永続的なセットアップを行う場合は、同じバイナリを指すsystemdユニットを配置して、再起動時に自動起動するようにします。参考となるユニットについては、プロキシのドキュメントを参照してください。

6. エージェントをプロキシに向け、エンドツーエンドで検証します。 別のシェルで以下を実行します：

$ export HTTPS_PROXY=http://127.0.0.1:1983
$ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models

実際にプロキシから送信され、OpenAIのサーバーに到達するもの（エージェントが見ることのないリクエスト）：

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

OpenAIからJSONレスポンスが返ってくれば、すべて正常に接続されています。プロキシは、手順2の資格情報復号鍵を使用してボールトに対してclavitor://OpenAI/keyを解決し、実際の鍵をAuthorizationヘッダーに代入して、リクエストをアップストリームに転送しました。エージェントのコードにはプレースホルダーのみが保持され、実際の鍵がプロキシのプロセスメモリから外に出ることはありません。

macOS

以下のウォークスルーではzsh（macOSのデフォルトシェル）を使用し、Apple Siliconを想定しています。Intel Macの場合は、arm64をamd64に置き換えてください。

1. プロキシバイナリをダウンロードし、実行可能にします。 依存関係のない、単一の自己完結型バイナリです：

$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-darwin-arm64
$ chmod +x clavitor-proxy-darwin-arm64

初回実行時にmacOSのGatekeeperによってバイナリの実行が拒否された場合は、Finderでバイナリを右クリックし、開くを選択して確認します。これで例外が登録されます。その後は、コマンドラインからの呼び出しが機能します。

2. バイナリがディスクに保存されました。次に、これをボールトにバインドします。 プロキシは標準入力からセットアップトークンを読み取ります（コマンドラインからは読み取らないため、シェル履歴に漏洩することはありません）。プロンプトが表示されたら、「開始する前に」で取得したトークンを貼り付けます：

$ ./clavitor-proxy-darwin-arm64 init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

実行された内容：トークンはローカルで復号され（ネットワーク呼び出しなし）、ボールトのアドレス + エージェントID + 資格情報復号鍵が、~/.config/clavitor-proxy/agent.clv（モード0600）の暗号化されたサイドカーに書き込まれ、トークン自体は消費されました。これでトークンは不要です。

3. プロキシのルートCAをエクスポートします。 プロキシは、エージェントが確立するすべてのHTTPS接続を終端し、各アップストリームホストに対してその場で証明書を再発行します。ルートCAを信頼しない場合、これらの証明書は検証に失敗します：

$ ./clavitor-proxy-darwin-arm64 ca > clavitor-proxy-ca.pem

4. CAをシステムキーチェーンにインストールします。 1つのコマンドで、sudoパスワードの入力を求められます：

$ sudo security add-trusted-cert -d -r trustRoot \
    -k /Library/Keychains/System.keychain clavitor-proxy-ca.pem

これ以降、Safari、curl、Swift、Python、Go、およびマシン上の他のほとんどのHTTPSクライアントがプロキシの証明書を受け入れます。（一部の言語ランタイムは独自のトラストバンドルを搭載しており、個別の設定が必要です。その場合は証明書エラーが表示されます。）

5. プロキシを起動します。 127.0.0.1:1983にバインドされ、フォアグラウンドで実行されます。Ctrl-Cで停止します：

$ ./clavitor-proxy-darwin-arm64 serve
clavitor-proxy listening on 127.0.0.1:1983

永続的なセットアップを行う場合は、launchdエージェントとしてインストールし、ログイン時に起動し、クラッシュ時に再起動するようにします。

6. エージェントをプロキシに向け、エンドツーエンドで検証します。 別のシェルで以下を実行します：

$ export HTTPS_PROXY=http://127.0.0.1:1983
$ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models

実際にプロキシから送信され、OpenAIのサーバーに到達するもの（エージェントが見ることのないリクエスト）：

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

OpenAIからJSONレスポンスが返ってくれば、すべて正常に接続されています。プロキシは、手順2の資格情報復号鍵を使用してボールトに対してclavitor://OpenAI/keyを解決し、実際の鍵をAuthorizationヘッダーに代入して、リクエストをアップストリームに転送しました。エージェントのコードにはプレースホルダーのみが保持され、実際の鍵がプロキシのプロセスメモリから外に出ることはありません。

Windows

以下のウォークスルーではPowerShellを使用し、64ビットWindowsを想定しています。32ビットの場合は、windows-amd64.exeをwindows-386.exeに置き換えてください。

1. プロキシバイナリをダウンロードします。 依存関係のない、単一の自己完結型.exeファイルです：

> Invoke-WebRequest https://clavitor.ai/downloads/clavitor-proxy-windows-amd64.exe `
    -OutFile clavitor-proxy.exe

署名されていないバイナリを初めて実行する際、Windows SmartScreenに警告が表示される場合があります。詳細情報 → 実行をクリックして許可してください。

2. バイナリがディスクに保存されました。次に、これをボールトにバインドします。 プロキシは標準入力からセットアップトークンを読み取ります（コマンドラインからは読み取らないため、PowerShell履歴に漏洩することはありません）。プロンプトが表示されたら、「開始する前に」で取得したトークンを貼り付けます：

> .\clavitor-proxy.exe init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

実行された内容：トークンはローカルで復号され（ネットワーク呼び出しなし）、ボールトのアドレス + エージェントID + 資格情報復号鍵が、%APPDATA%\clavitor-proxy\agent.clvの暗号化されたサイドカーに書き込まれ、トークン自体は消費されました。これでトークンは不要です。

3. プロキシのルートCAをエクスポートします。 プロキシは、エージェントが確立するすべてのHTTPS接続を終端し、各アップストリームホストに対してその場で証明書を再発行します。ルートCAを信頼しない場合、これらの証明書は検証に失敗します：

> .\clavitor-proxy.exe ca > clavitor-proxy-ca.pem

4. CAをローカルマシンの信頼されたルートストアにインストールします。 昇格されたPowerShellを開き（PowerShellを右クリック → 管理者として実行）、以下を実行します：

> certutil -addstore -f "ROOT" clavitor-proxy-ca.pem

これ以降、Edge、.NET、curl.exe、およびマシン上のほとんどのHTTPクライアントがプロキシの証明書を受け入れます。（Firefoxは独自のトラストストアを維持しています。Firefoxでテストする場合は、設定 → プライバシーとセキュリティ → 証明書 → 証明書を表示 → 認証局 → インポートからCAを個別にインポートしてください。）

5. プロキシを起動します。 127.0.0.1:1983にバインドされ、フォアグラウンドで実行されます。Ctrl-Cで停止します：

> .\clavitor-proxy.exe serve
clavitor-proxy listening on 127.0.0.1:1983

永続的なセットアップを行う場合は、Windowsサービスまたはスケジュールされたタスクとして登録し、起動時に開始されるようにします。

6. エージェントをプロキシに向け、エンドツーエンドで検証します。 別のPowerShellウィンドウで以下を実行します：

> $env:HTTPS_PROXY = "http://127.0.0.1:1983"
> curl.exe -H "Authorization: Bearer clavitor://OpenAI/key" `
    https://api.openai.com/v1/models

（明示的にcurl.exeを使用してください。PowerShellのcurlエイリアスはInvoke-WebRequestを指しており、プロキシ環境変数の処理が異なります。）実際にプロキシから送信され、OpenAIのサーバーに到達するもの（エージェントが見ることのないリクエスト）：

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

OpenAIからJSONレスポンスが返ってくれば、すべて正常に接続されています。プロキシは、手順2の資格情報復号鍵を使用してボールトに対してclavitor://OpenAI/keyを解決し、実際の鍵をAuthorizationヘッダーに代入して、リクエストをアップストリームに転送しました。エージェントのコードにはプレースホルダーのみが保持され、実際の鍵がプロキシのプロセスメモリから外に出ることはありません。

Claude Codeスキルのインストール

CLIには、Claude Codeにボールトの使用方法を教える組み込みのスキル定義が付属しています。1つのコマンドでインストールできます。

# Install globally (all projects)
$ clavitor-cli skill > ~/.claude/skills/clavitor.md

# Or install for a specific project
$ clavitor-cli skill > /path/to/project/.claude/skills/clavitor.md

スキルはバイナリに埋め込まれています。新しいリリースをダウンロードして更新してください。

使用方法

これで、エージェントは資格情報を取得し、TOTPコードを生成し、新しいシークレットを保存できるようになりました。すべてのアクセスはボールトの監査ログに記録されます。

# Fetch a credential
$ clavitor-cli get github

# Generate a TOTP code
$ clavitor-cli totp github

# Store a new credential
$ clavitor-cli put credential "AWS Prod" --username admin --password s3cret

# List all entries
$ clavitor-cli list