Установите Clavitor на свою машину.

Скачать

No binaries published yet. Run make publish-dev in clavitor-cli and clavitor-proxy to populate this page locally.

Расширение для браузера

Предпочитаете заполнять учётные данные в браузере? Расширение Clavitor подставляет пароли, ключи доступа, карты и одноразовые коды в поле, которое их ожидает — при этом Ваше хранилище остаётся удалённым, без кэширования или расшифровки на Вашей машине.

Доступно сейчас для Chrome. Firefox и Safari скоро.

Настроить агент

Два шага. Менее чем за минуту от установки свежего CLI до рабочего идентификатора агента.

1. Создайте агента в Вашем хранилище

В веб-интерфейсе Вашего хранилища перейдите в раздел Агенты → Новый. Назовите агента (например, "Claude Code") и выберите, к каким записям он может получить доступ. Clavitor вернёт токен настройки — одну строку, которая кодирует адрес хранилища, идентификатор агента и ключ шифрования, который ему понадобится.

Токен используется один раз и имеет короткий срок действия (по умолчанию 15 минут). Обращайтесь с ним как с паролем: передайте его непосредственно машине, на которой работает агент, а затем удалите.

2. Инициализируйте CLI на машине агента

$ clavitor-cli init <setup-token>

Токен будет расшифрован и сохранён как локальная зашифрованная конфигурация (по умолчанию ~/.config/clavitor/agent.clv — права доступа к файлу 0600). Исходный токен будет использован и не может быть повторно использован. Следующий раздел показывает, как агент использует CLI с этого момента.

Настроить прокси

Для агентов, которые уже работают с HTTP/HTTPS — Claude Desktop, пользовательские скрипты, всё, что использует requests или fetch. Прокси располагается между агентом и вышестоящим API, разрешая плейсхолдеры clavitor://Entry/field в потоке данных, так что агент никогда не получает фактические учётные данные. См. страницу архитектуры прокси для модели угроз и деталей протокола.

Пошаговое руководство написано в разговорной манере, чтобы человек или ИИ-агент могли прочитать его от начала до конца и выполнить на реальной машине. Выберите Вашу ОС ниже — каждый раздел представляет собой отдельную шестишаговую процедуру.

Перед началом: получите токен настройки из хранилища

Вам нужен токен настройки из Вашего хранилища. Это единственная часть, которую может выполнить только человек — хранилище требует аппаратного подтверждения для авторизации нового агента.

В веб-интерфейсе хранилища перейдите в раздел Агенты → Новый, назовите агента (например, "Local Proxy"), выберите, к каким записям он может получить доступ, и коснитесь Вашего ключа безопасности, когда будет предложено. Clavitor вернёт одноразовый токен настройки с TTL 15 минут. Скопируйте его. Остальные шаги ниже просят Вас вставить его один раз, а затем забыть о нём.

Linux

В приведённом ниже руководстве используется bash и предполагается, что Вы работаете на x86-64; замените arm64 на amd64, если Вы используете aarch64.

1. Скачайте бинарный файл прокси и сделайте его исполняемым. Один самодостаточный бинарный файл, без зависимостей:

$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-linux-amd64
$ chmod +x clavitor-proxy-linux-amd64

2. Бинарный файл на диске. Теперь привяжите его к Вашему хранилищу. Прокси считывает токен настройки из stdin (никогда из командной строки, чтобы он не попал в историю Вашей оболочки). Вставьте токен из раздела "Перед началом", когда будет предложено:

$ ./clavitor-proxy-linux-amd64 init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

Что произошло: токен был расшифрован локально (без сетевого вызова), адрес хранилища + идентификатор агента + ключ расшифровки учётных данных были записаны в зашифрованный сайдкар по адресу ~/.config/clavitor-proxy/agent.clv (режим 0600), и сам токен теперь использован. Вам он больше не понадобится.

3. Экспортируйте корневой сертификат прокси. Прокси будет терминировать каждое HTTPS-соединение, которое делает Ваш агент, и перевыпускать сертификат для каждого вышестоящего хоста на лету. Без доверия к его корневому сертификату эти сертификаты не пройдут проверку:

$ ./clavitor-proxy-linux-amd64 ca > clavitor-proxy-ca.pem

4. Установите корневой сертификат в системное хранилище доверенных сертификатов. В Debian/Ubuntu и производных:

$ sudo cp clavitor-proxy-ca.pem /usr/local/share/ca-certificates/clavitor-proxy-ca.crt
$ sudo update-ca-certificates

update-ca-certificates должен вывести 1 added. С этого момента каждый HTTPS-клиент на машине (curl, Python's requests, Go's net/http и т. д.) принимает сертификаты прокси как легитимные.

5. Запустите прокси. Он привязывается к 127.0.0.1:1983 и работает в режиме переднего плана; Ctrl-C остановит его:

$ ./clavitor-proxy-linux-amd64 serve
clavitor-proxy listening on 127.0.0.1:1983

Для постоянной настройки создайте unit systemd, указывающий на тот же бинарный файл, чтобы он перезапускался при перезагрузке — см. документацию по прокси для примера unit.

6. Направьте Ваш агент на прокси и проверьте сквозную работу. В другой оболочке:

$ export HTTPS_PROXY=http://127.0.0.1:1983
$ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models

Что фактически покидает прокси и достигает серверов OpenAI — запрос, который Ваш агент никогда не видит:

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

Если Вы получите JSON-ответ от OpenAI, значит, всё настроено. Прокси разрешил clavitor://OpenAI/key в хранилище, используя ключ расшифровки учётных данных из шага 2, подставил реальный ключ в заголовок Authorization и перенаправил запрос вышестоящему серверу. Ваш код агента содержит только плейсхолдер; реальный ключ никогда не покидает память процесса прокси.

macOS

В приведённом ниже руководстве используется zsh (оболочка по умолчанию в macOS) и предполагается Apple Silicon; замените amd64 на arm64, если Вы используете Intel Mac.

1. Скачайте бинарный файл прокси и сделайте его исполняемым. Один самодостаточный бинарный файл, без зависимостей:

$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-darwin-arm64
$ chmod +x clavitor-proxy-darwin-arm64

Если macOS Gatekeeper впервые откажется запускать бинарный файл, щелкните его правой кнопкой мыши в Finder, выберите Открыть и подтвердите — это зарегистрирует исключение. После этого вызов из командной строки будет работать.

2. Бинарный файл на диске. Теперь привяжите его к Вашему хранилищу. Прокси считывает токен настройки из stdin (никогда из командной строки, чтобы он не попал в историю Вашей оболочки). Вставьте токен из раздела "Перед началом", когда будет предложено:

$ ./clavitor-proxy-darwin-arm64 init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

Что произошло: токен был расшифрован локально (без сетевого вызова), адрес хранилища + идентификатор агента + ключ расшифровки учётных данных были записаны в зашифрованный сайдкар по адресу ~/.config/clavitor-proxy/agent.clv (режим 0600), и сам токен теперь использован. Вам он больше не понадобится.

3. Экспортируйте корневой сертификат прокси. Прокси будет терминировать каждое HTTPS-соединение, которое делает Ваш агент, и перевыпускать сертификат для каждого вышестоящего хоста на лету. Без доверия к его корневому сертификату эти сертификаты не пройдут проверку:

$ ./clavitor-proxy-darwin-arm64 ca > clavitor-proxy-ca.pem

4. Установите корневой сертификат в Системный Keychain. Одна команда, запрашивает Ваш пароль sudo:

$ sudo security add-trusted-cert -d -r trustRoot \
    -k /Library/Keychains/System.keychain clavitor-proxy-ca.pem

После этого Safari, curl, Swift, Python, Go и большинство других HTTPS-клиентов на машине принимают сертификаты прокси. (Небольшое количество языковых сред выполнения поставляется со своим собственным набором доверенных сертификатов и требует отдельной настройки — в этом случае Вы увидите ошибку сертификата.)

5. Запустите прокси. Он привязывается к 127.0.0.1:1983 и работает в режиме переднего плана; Ctrl-C остановит его:

$ ./clavitor-proxy-darwin-arm64 serve
clavitor-proxy listening on 127.0.0.1:1983

Для постоянной настройки установите его как агент launchd, чтобы он запускался при входе в систему и перезапускался при сбое.

6. Направьте Ваш агент на прокси и проверьте сквозную работу. В другой оболочке:

$ export HTTPS_PROXY=http://127.0.0.1:1983
$ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models

Что фактически покидает прокси и достигает серверов OpenAI — запрос, который Ваш агент никогда не видит:

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

Если Вы получите JSON-ответ от OpenAI, значит, всё настроено. Прокси разрешил clavitor://OpenAI/key в хранилище, используя ключ расшифровки учётных данных из шага 2, подставил реальный ключ в заголовок Authorization и перенаправил запрос вышестоящему серверу. Ваш код агента содержит только плейсхолдер; реальный ключ никогда не покидает память процесса прокси.

Windows

В приведённом ниже руководстве используется PowerShell и предполагается 64-разрядная Windows; замените windows-386.exe на windows-amd64.exe, если Вы используете 32-разрядную версию.

1. Скачайте бинарный файл прокси. Один самодостаточный .exe, без зависимостей:

> Invoke-WebRequest https://clavitor.ai/downloads/clavitor-proxy-windows-amd64.exe `
    -OutFile clavitor-proxy.exe

Windows SmartScreen может показать предупреждение при первом запуске неподписанного бинарного файла — нажмите Дополнительные сведения → Запустить в любом случае, чтобы разрешить его.

2. Бинарный файл на диске. Теперь привяжите его к Вашему хранилищу. Прокси считывает токен настройки из stdin (никогда из командной строки, чтобы он не попал в историю Вашего PowerShell). Вставьте токен из раздела "Перед началом", когда будет предложено:

> .\clavitor-proxy.exe init
Paste enrollment token, then press Enter:
<paste-the-token-here>
✓ Authenticated.

Что произошло: токен был расшифрован локально (без сетевого вызова), адрес хранилища + идентификатор агента + ключ расшифровки учётных данных были записаны в зашифрованный сайдкар по адресу %APPDATA%\clavitor-proxy\agent.clv, и сам токен теперь использован. Вам он больше не понадобится.

3. Экспортируйте корневой сертификат прокси. Прокси будет терминировать каждое HTTPS-соединение, которое делает Ваш агент, и перевыпускать сертификат для каждого вышестоящего хоста на лету. Без доверия к его корневому сертификату эти сертификаты не пройдут проверку:

> .\clavitor-proxy.exe ca > clavitor-proxy-ca.pem

4. Установите корневой сертификат в хранилище доверенных корневых сертификатов локального компьютера. Откройте повышенный PowerShell (щелкните правой кнопкой мыши PowerShell → Запуск от имени администратора) и выполните:

> certutil -addstore -f "ROOT" clavitor-proxy-ca.pem

После этого Edge, .NET, curl.exe и большинство HTTP-клиентов на машине принимают сертификаты прокси. (Firefox поддерживает свой собственный набор доверенных сертификатов; если Вы тестируете через Firefox, импортируйте корневой сертификат отдельно в разделе Настройки → Конфиденциальность и безопасность → Сертификаты → Просмотреть сертификаты → Центры сертификации → Импорт.)

5. Запустите прокси. Он привязывается к 127.0.0.1:1983 и работает в режиме переднего плана; Ctrl-C остановит его:

> .\clavitor-proxy.exe serve
clavitor-proxy listening on 127.0.0.1:1983

Для постоянной настройки зарегистрируйте его как службу Windows или запланированную задачу, чтобы он запускался при загрузке.

6. Направьте Ваш агент на прокси и проверьте сквозную работу. В другом окне PowerShell:

> $env:HTTPS_PROXY = "http://127.0.0.1:1983"
> curl.exe -H "Authorization: Bearer clavitor://OpenAI/key" `
    https://api.openai.com/v1/models

(Явно используйте curl.exe — псевдоним curl в PowerShell указывает на Invoke-WebRequest, который по-разному обрабатывает переменную среды прокси.) Что фактически покидает прокси и достигает серверов OpenAI — запрос, который Ваш агент никогда не видит:

GET /v1/models HTTP/1.1
Host: api.openai.com
Authorization: Bearer sk-proj-abc123def456ghi789…    ← real key, injected by the proxy
User-Agent: curl/8.4.0

Если Вы получите JSON-ответ от OpenAI, значит, всё настроено. Прокси разрешил clavitor://OpenAI/key в хранилище, используя ключ расшифровки учётных данных из шага 2, подставил реальный ключ в заголовок Authorization и перенаправил запрос вышестоящему серверу. Ваш код агента содержит только плейсхолдер; реальный ключ никогда не покидает память процесса прокси.

Установите навык Claude Code

CLI поставляется со встроенным определением навыка, которое обучает Claude Code использовать Ваше хранилище. Одна команда устанавливает его.

# Install globally (all projects)
$ clavitor-cli skill > ~/.claude/skills/clavitor.md

# Or install for a specific project
$ clavitor-cli skill > /path/to/project/.claude/skills/clavitor.md

Навык встроен в бинарный файл. Обновляйте его, скачивая новый релиз.

Используйте его

Ваш агент теперь может получать учётные данные, генерировать коды TOTP и сохранять новые секреты. Каждый доступ регистрируется в журнале аудита хранилища.

# Fetch a credential
$ clavitor-cli get github

# Generate a TOTP code
$ clavitor-cli totp github

# Store a new credential
$ clavitor-cli put credential "AWS Prod" --username admin --password s3cret

# List all entries
$ clavitor-cli list