Downloads
Haal Clavitor op je machine.
De CLI geeft je AI-agenten gescopeerde toegang tot je kluis. De proxy injecteert inloggegevens transparant in HTTPS-verzoeken. Beide zijn enkele binaire bestanden zonder afhankelijkheden.
Download
No binaries published yet. Run make publish-dev in clavitor-cli and clavitor-proxy to populate this page locally.
Browserextensie
Vul je inloggegevens liever in de browser in? De Clavitor-extensie plaatst wachtwoorden, passkeys, kaarten en eenmalige codes in het veld dat ze daadwerkelijk wil hebben — terwijl je kluis op afstand blijft, zonder caching of ontsleuteling op je machine.
Nu beschikbaar voor Chrome. Firefox en Safari volgen binnenkort.
Stel een AI-agent in
Twee stappen. Minder dan een minuut van een verse CLI-installatie tot een werkende AI-agent-identiteit.
1. Maak de AI-agent aan in je kluis
Ga in de webinterface van je kluis naar AI-agenten → Nieuw. Geef de AI-agent een naam (bijvoorbeeld "Claude Code") en kies welke items deze mag benaderen. Clavitor retourneert een setup-token — een enkele string die het kluisadres, de AI-agent-identiteit en de versleutelingssleutel die deze nodig heeft, bevat.
Het token is eenmalig en kort geldig (standaard 15 minuten). Behandel het als een wachtwoord: geef het rechtstreeks aan de machine waar de AI-agent draait, en gooi het daarna weg.
2. Initialiseer de CLI op de machine van de AI-agent
$ clavitor-cli init <setup-token>
Het token wordt gedecodeerd en opgeslagen als lokale versleutelde configuratie (~/.config/clavitor/agent.clv standaard — bestandspermissies 0600). Het originele token wordt verbruikt en kan niet opnieuw worden gebruikt. Het volgende gedeelte laat zien hoe de AI-agent vanaf dit punt de CLI gebruikt.
Stel de proxy in
Voor AI-agenten die al HTTP/HTTPS spreken — Claude Desktop, aangepaste scripts, alles wat requests of fetch gebruikt. De proxy zit tussen de AI-agent en de upstream API, en lost clavitor://Entry/field placeholders op de wire op, zodat de AI-agent nooit de daadwerkelijke inloggegevens bevat. Zie de proxy-architectuurpagina voor het dreigingsmodel en protocoldetails.
De walkthrough is conversatieel geschreven, zodat een mens of een AI-agent deze van begin tot eind kan lezen en uitvoeren op een echte machine. Kies hieronder je besturingssysteem — elke sectie is een op zichzelf staande procedure van zes stappen.
Voordat je begint: haal een setup-token uit de kluis
Je hebt een setup-token nodig uit je kluis. Dit is het enige deel dat alleen een mens kan doen — de kluis vereist een hardware-tik om een nieuwe AI-agent te autoriseren.
Ga in de webinterface van de kluis naar AI-agenten → Nieuw, geef de AI-agent een naam (bijv. "Lokale Proxy"), kies welke items deze mag benaderen, en tik op je hardwaresleutel wanneer daarom wordt gevraagd. Clavitor retourneert een eenmalig setup-token met een TTL van 15 minuten. Kopieer het. De rest van de onderstaande stappen vragen je om het één keer te plakken en het daarna te vergeten.
Linux
De onderstaande walkthrough gebruikt bash en gaat ervan uit dat je op x86-64 zit; vervang arm64 door amd64 als je op aarch64 zit.
1. Download de proxy-binary en maak deze uitvoerbaar. Een enkele, zelfstandige binary, geen afhankelijkheden:
$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-linux-amd64 $ chmod +x clavitor-proxy-linux-amd64
2. De binary staat op schijf. Koppel deze nu aan je kluis. De proxy leest het setup-token van stdin (nooit vanaf de commandoregel, zodat het niet in je shellgeschiedenis lekt). Plak het token uit "Voordat je begint" wanneer daarom wordt gevraagd:
$ ./clavitor-proxy-linux-amd64 init Paste enrollment token, then press Enter: <paste-the-token-here> ✓ Authenticated.
Wat er zojuist is gebeurd: het token is lokaal gedecodeerd (geen netwerkoproep), het kluisadres + AI-agent-identiteit + ontsleutelingssleutel voor inloggegevens zijn naar een versleutelde sidecar geschreven op ~/.config/clavitor-proxy/agent.clv (modus 0600), en het token zelf is nu verbruikt. Je hebt het niet meer nodig.
3. Exporteer de root CA van de proxy. De proxy zal elke HTTPS-verbinding die je AI-agent maakt beëindigen en voor elke upstream host on-the-fly een certificaat opnieuw uitgeven. Zonder de root CA te vertrouwen, zouden die certificaten de verificatie niet doorstaan:
$ ./clavitor-proxy-linux-amd64 ca > clavitor-proxy-ca.pem
4. Installeer de CA in de systeem trust store. Op Debian/Ubuntu en afgeleiden:
$ sudo cp clavitor-proxy-ca.pem /usr/local/share/ca-certificates/clavitor-proxy-ca.crt $ sudo update-ca-certificates
update-ca-certificates zou 1 added moeten afdrukken. Vanaf hier accepteert elke HTTPS-client op de machine (curl, Python's requests, Go's net/http, etc.) de certificaten van de proxy als legitiem.
5. Start de proxy. Deze koppelt aan 127.0.0.1:1983 en draait op de voorgrond; Ctrl-C stopt deze:
$ ./clavitor-proxy-linux-amd64 serve clavitor-proxy listening on 127.0.0.1:1983
Voor een permanente setup, plaats een systemd-unit die naar dezelfde binary wijst, zodat deze opnieuw opstart na een reboot — zie de proxy-documentatie voor een referentie-unit.
6. Wijs je AI-agent naar de proxy en verifieer end-to-end. In een andere shell:
$ export HTTPS_PROXY=http://127.0.0.1:1983 $ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models
Wat daadwerkelijk de proxy verlaat en de servers van OpenAI bereikt — het verzoek dat je AI-agent nooit ziet:
GET /v1/models HTTP/1.1 Host: api.openai.com Authorization: Bearer sk-proj-abc123def456ghi789… ← real key, injected by the proxy User-Agent: curl/8.4.0
Als je een JSON-antwoord van OpenAI terugkrijgt, is alles correct ingesteld. De proxy heeft clavitor://OpenAI/key opgelost tegen de kluis met behulp van de ontsleutelingssleutel voor inloggegevens uit stap 2, de echte sleutel vervangen in de Authorization-header, en het verzoek doorgestuurd. Je AI-agent-code bevat alleen de placeholder; de echte sleutel verlaat nooit het procesgeheugen van de proxy.
macOS
De onderstaande walkthrough gebruikt zsh (de standaard shell op macOS) en gaat uit van Apple Silicon; vervang amd64 door arm64 als je op een Intel Mac zit.
1. Download de proxy-binary en maak deze uitvoerbaar. Een enkele, zelfstandige binary, geen afhankelijkheden:
$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-darwin-arm64 $ chmod +x clavitor-proxy-darwin-arm64
Als macOS Gatekeeper de binary de eerste keer weigert uit te voeren, klik er dan met de rechtermuisknop op in Finder, kies Open, en bevestig — dat registreert de uitzondering. Daarna werkt de aanroep vanaf de commandoregel.
2. De binary staat op schijf. Koppel deze nu aan je kluis. De proxy leest het setup-token van stdin (nooit vanaf de commandoregel, zodat het niet in je shellgeschiedenis lekt). Plak het token uit "Voordat je begint" wanneer daarom wordt gevraagd:
$ ./clavitor-proxy-darwin-arm64 init Paste enrollment token, then press Enter: <paste-the-token-here> ✓ Authenticated.
Wat er zojuist is gebeurd: het token is lokaal gedecodeerd (geen netwerkoproep), het kluisadres + AI-agent-identiteit + ontsleutelingssleutel voor inloggegevens zijn naar een versleutelde sidecar geschreven op ~/.config/clavitor-proxy/agent.clv (modus 0600), en het token zelf is nu verbruikt. Je hebt het niet meer nodig.
3. Exporteer de root CA van de proxy. De proxy zal elke HTTPS-verbinding die je AI-agent maakt beëindigen en voor elke upstream host on-the-fly een certificaat opnieuw uitgeven. Zonder de root CA te vertrouwen, zouden die certificaten de verificatie niet doorstaan:
$ ./clavitor-proxy-darwin-arm64 ca > clavitor-proxy-ca.pem
4. Installeer de CA in de System Keychain. Eén commando, vraagt om je sudo-wachtwoord:
$ sudo security add-trusted-cert -d -r trustRoot \
-k /Library/Keychains/System.keychain clavitor-proxy-ca.pemHierna accepteren Safari, curl, Swift, Python, Go en de meeste andere HTTPS-clients op de machine de certificaten van de proxy. (Een klein aantal runtime-omgevingen van talen heeft een eigen trust bundle en heeft aparte configuratie nodig — je ziet dan een certificaatfout.)
5. Start de proxy. Deze koppelt aan 127.0.0.1:1983 en draait op de voorgrond; Ctrl-C stopt deze:
$ ./clavitor-proxy-darwin-arm64 serve clavitor-proxy listening on 127.0.0.1:1983
Voor een permanente setup, installeer het als een launchd-agent zodat het bij het inloggen start en opnieuw opstart bij een crash.
6. Wijs je AI-agent naar de proxy en verifieer end-to-end. In een andere shell:
$ export HTTPS_PROXY=http://127.0.0.1:1983 $ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models
Wat daadwerkelijk de proxy verlaat en de servers van OpenAI bereikt — het verzoek dat je AI-agent nooit ziet:
GET /v1/models HTTP/1.1 Host: api.openai.com Authorization: Bearer sk-proj-abc123def456ghi789… ← real key, injected by the proxy User-Agent: curl/8.4.0
Als je een JSON-antwoord van OpenAI terugkrijgt, is alles correct ingesteld. De proxy heeft clavitor://OpenAI/key opgelost tegen de kluis met behulp van de ontsleutelingssleutel voor inloggegevens uit stap 2, de echte sleutel vervangen in de Authorization-header, en het verzoek doorgestuurd. Je AI-agent-code bevat alleen de placeholder; de echte sleutel verlaat nooit het procesgeheugen van de proxy.
Windows
De onderstaande walkthrough gebruikt PowerShell en gaat uit van 64-bits Windows; vervang windows-386.exe door windows-amd64.exe als je op 32-bits zit.
1. Download de proxy-binary. Een enkele, zelfstandige .exe, geen afhankelijkheden:
> Invoke-WebRequest https://clavitor.ai/downloads/clavitor-proxy-windows-amd64.exe `
-OutFile clavitor-proxy.exeWindows SmartScreen kan een waarschuwing tonen de eerste keer dat je een niet-ondertekende binary uitvoert — klik op Meer info → Toch uitvoeren om dit toe te staan.
2. De binary staat op schijf. Koppel deze nu aan je kluis. De proxy leest het setup-token van stdin (nooit vanaf de commandoregel, zodat het niet in je PowerShell-geschiedenis lekt). Plak het token uit "Voordat je begint" wanneer daarom wordt gevraagd:
> .\clavitor-proxy.exe init Paste enrollment token, then press Enter: <paste-the-token-here> ✓ Authenticated.
Wat er zojuist is gebeurd: het token is lokaal gedecodeerd (geen netwerkoproep), het kluisadres + AI-agent-identiteit + ontsleutelingssleutel voor inloggegevens zijn naar een versleutelde sidecar geschreven op %APPDATA%\clavitor-proxy\agent.clv, en het token zelf is nu verbruikt. Je hebt het niet meer nodig.
3. Exporteer de root CA van de proxy. De proxy zal elke HTTPS-verbinding die je AI-agent maakt beëindigen en voor elke upstream host on-the-fly een certificaat opnieuw uitgeven. Zonder de root CA te vertrouwen, zouden die certificaten de verificatie niet doorstaan:
> .\clavitor-proxy.exe ca > clavitor-proxy-ca.pem
4. Installeer de CA in de Local Machine Trusted Root store. Open een verhoogde PowerShell (Rechtsklik op PowerShell → Als administrator uitvoeren) en voer uit:
> certutil -addstore -f "ROOT" clavitor-proxy-ca.pem
Hierna accepteren Edge, .NET, curl.exe en de meeste HTTP-clients op de machine de certificaten van de proxy. (Firefox onderhoudt zijn eigen trust store; als je via Firefox test, importeer de CA dan apart onder Instellingen → Privacy & Beveiliging → Certificaten → Certificaten weergeven → Autoriteiten → Importeren.)
5. Start de proxy. Deze koppelt aan 127.0.0.1:1983 en draait op de voorgrond; Ctrl-C stopt deze:
> .\clavitor-proxy.exe serve clavitor-proxy listening on 127.0.0.1:1983
Voor een permanente setup, registreer het als een Windows-service of geplande taak, zodat het bij het opstarten start.
6. Wijs je AI-agent naar de proxy en verifieer end-to-end. In een ander PowerShell-venster:
> $env:HTTPS_PROXY = "http://127.0.0.1:1983"
> curl.exe -H "Authorization: Bearer clavitor://OpenAI/key" `
https://api.openai.com/v1/models(Gebruik expliciet curl.exe — de curl-alias van PowerShell wijst naar Invoke-WebRequest, die de proxy-omgevingsvariabele anders behandelt.) Wat daadwerkelijk de proxy verlaat en de servers van OpenAI bereikt — het verzoek dat je AI-agent nooit ziet:
GET /v1/models HTTP/1.1 Host: api.openai.com Authorization: Bearer sk-proj-abc123def456ghi789… ← real key, injected by the proxy User-Agent: curl/8.4.0
Als je een JSON-antwoord van OpenAI terugkrijgt, is alles correct ingesteld. De proxy heeft clavitor://OpenAI/key opgelost tegen de kluis met behulp van de ontsleutelingssleutel voor inloggegevens uit stap 2, de echte sleutel vervangen in de Authorization-header, en het verzoek doorgestuurd. Je AI-agent-code bevat alleen de placeholder; de echte sleutel verlaat nooit het procesgeheugen van de proxy.
Installeer de Claude Code skill
De CLI wordt geleverd met een ingebouwde skill-definitie die Claude Code leert hoe je kluis te gebruiken. Eén commando installeert deze.
# Install globally (all projects) $ clavitor-cli skill > ~/.claude/skills/clavitor.md # Or install for a specific project $ clavitor-cli skill > /path/to/project/.claude/skills/clavitor.md
De skill is ingebed in de binary. Werk deze bij door een nieuwe release te downloaden.
Gebruik het
Je AI-agent kan nu inloggegevens ophalen, TOTP-codes genereren en nieuwe geheimen opslaan. Elke toegang wordt gelogd in het auditlog van de kluis.
# Fetch a credential $ clavitor-cli get github # Generate a TOTP code $ clavitor-cli totp github # Store a new credential $ clavitor-cli put credential "AWS Prod" --username admin --password s3cret # List all entries $ clavitor-cli list
Eén CLI-aanroep. Elk geheim.
Jouw kluis, jouw scopes, jouw auditlog. Geen omgevingsvariabelen, geen configuratiebestanden, geen geheimen in logs.