Proxy de credenciais

Seus agentes fazem chamadas de API.
Eles nunca devem guardar as chaves.

O Clavitor Proxy fica entre seus agentes de IA e as APIs que eles chamam. As credenciais são injetadas na camada de rede — o agente nunca vê, armazena ou registra o segredo real. Um binário. Uma variável de ambiente. Zero alterações de código.

O problema que você já tem

Segredos em variáveis de ambiente

Seus agentes leem OPENAI_API_KEY do ambiente. Essa chave é visível em /proc, em dumps de falha, em logs de CI, em todas as ferramentas que o agente invoca. Uma linha de log vazada e a chave se torna pública.

Segredos na memória do agente

Mesmo que o agente busque a chave em tempo de execução, ele a mantém na memória durante o processo. Uma skill comprometida, uma injeção de prompt, um dump de depuração — a chave está lá para ser pega.

Sem auditoria do que foi usado

Quando uma chave de API é compartilhada como uma string, não há registro de qual agente a usou, quando ou para quê. Se a chave vazar, você a rotaciona e espera. Não há rastro forense.

Os problemas que esperamos que você não tenha

Chaves de API no código-fonte

Codificadas em um arquivo de configuração, commitadas no git, clonadas por todos os desenvolvedores e runners de CI da equipe. Um fork público e ela estará no painel de escaneamento de segredos do GitHub — ou pior, não estará.

Credenciais no Slack

"Você pode me enviar a chave do Stripe?" Colada em uma mensagem direta, pesquisável para sempre, exportada em todos os arquivos de conformidade. O Slack não é um cofre. Nem o e-mail, Google Docs ou um post-it em um monitor.

Arquivos .env em todos os laptops

Doze desenvolvedores, doze cópias de credenciais de produção em arquivos de texto simples que nunca são rotacionadas. Um laptop roubado, um vazamento em ~/.bash_history, uma ferramenta de backup excessivamente prestativa — e você está rotacionando todas as chaves da empresa às 2 da manhã.

Remova as credenciais do agente completamente.

O proxy fica entre o agente e a API. O agente escreve uma referência — clavitor://OpenAI/key — onde o segredo deveria ir. O proxy a resolve localmente, injeta a credencial real na requisição HTTPS e a encaminha. Os logs do agente mostram o placeholder. A API recebe a chave. Nada no meio a armazena.

Sem variáveis de ambiente. Sem segredos na memória. Sem credenciais na linha de comando. O agente não conhece a chave, não pode vazar a chave, não pode ser enganado para revelar a chave.

$ export HTTPS_PROXY=http://127.0.0.1:1983

$ curl -H "Authorization: Bearer clavitor://OpenAI/key" \
    https://api.openai.com/v1/chat/completions

# The proxy resolved the placeholder. The agent never saw sk-proj-abc123.
# Neither did the logs, the crash dump, or the conversation history.

Funciona com qualquer agente que faça chamadas HTTPS: Claude Code, Codex, OpenClaw, CrewAI, LangChain, scripts personalizados. Defina uma variável de ambiente e as chamadas de API do agente fluirão pelo proxy. Sem SDK, sem plugin, sem alterações de código.

O que acontece nos bastidores

Descriptografa localmente, por requisição

O proxy busca a credencial criptografada do cofre e a descriptografa no dispositivo. O texto plano existe na memória do processo para uma requisição HTTP, depois desaparece. Nada é cacheado. Nada é gravado em disco. Cada requisição descriptografa do zero.

Mapeia campos para cabeçalhos

Tokens Bearer, chaves de API, autenticação Basic — o proxy mapeia os rótulos dos campos do cofre para os cabeçalhos HTTP corretos automaticamente. Ou o agente escolhe o campo exato com uma referência clavitor://. De qualquer forma, a credencial chega ao lugar certo sem que o agente a veja.

Escopos, limites de taxa, auditoria

O cofre impõe limites de escopo e limites de taxa. Um agente que acessa muitas credenciais distintas é automaticamente bloqueado. Cada acesso é registrado. Inclua um ID de agente no placeholder — clavitor://agentid@Entry/field — para trilhas de auditoria e limites de taxa por agente através de um proxy compartilhado.

Implantação

Um binário. Sidecar para o agente. Sem alterações na infraestrutura de rede.

Host de agente único

Baixe o binário, execute clavitor-proxy init com o token de inscrição, defina HTTPS_PROXY no agente. Pronto. Por padrão, o proxy se vincula a 127.0.0.1:1983 (sidecar para um agente); defina CLAVITOR_PROXY_LISTEN para vincular em outro lugar quando um proxy atender múltiplos agentes em uma rede privada.

Host de múltiplos agentes

Cada agente recebe sua própria cópia do binário com seu próprio arquivo de configuração sidecar. Cada cópia tem seu próprio escopo, seus próprios limites de taxa, sua própria trilha de auditoria. O Agente A não pode ver as credenciais do Agente B. Isolamento por design.

Proxies hospedados na nuvem são alvos de alto valor.

Cada proxy de credenciais que roda na nuvem — sua ou de outra pessoa — é um alvo. Invada o proxy, obtenha as credenciais de todos os clientes. Esse não é um risco teórico. É o modelo de negócios de todo serviço de proxy de credenciais como serviço.

O proxy do Clavitor roda na sua infraestrutura. Descriptografa localmente. A credencial existe na memória do processo durante uma requisição. Não há serviço de nuvem guardando suas chaves em texto plano. Não há endpoint de API servindo seus segredos. Não há nada para invadir.

Seus agentes já estão fazendo chamadas de API.
Mantenha-os em sua própria pista.

Seu cofre, seus escopos, sua trilha de auditoria. O proxy adiciona um ponto de aplicação na camada de rede com zero alterações de código no agente.

Começar Mergulho técnico profundo →

Seus agentes fazem chamadas de API.Eles nunca devem guardar as chaves.