Завантаження
Встановіть Clavitor на свою машину.
CLI надає Вашим ШІ-агентам обмежений доступ до Вашого сховища. Проксі прозоро вставляє облікові дані в HTTPS-запити. Обидва є окремими бінарними файлами без залежностей.
Завантажити
No binaries published yet. Run make publish-dev in clavitor-cli and clavitor-proxy to populate this page locally.
Розширення для браузера
Бажаєте заповнювати облікові дані в браузері? Розширення Clavitor вставляє паролі, ключі доступу, картки та одноразові коди у поле, яке їх потребує — поки Ваше сховище залишається віддаленим, без кешування чи розшифрування на Вашій машині.
Доступно зараз для Chrome. Firefox та Safari незабаром.
Налаштуйте ШІ-агента
Два кроки. Менш ніж за хвилину від свіжого встановлення CLI до робочого ідентифікатора ШІ-агента.
1. Створіть ШІ-агента у Вашому сховищі
У веб-інтерфейсі Вашого сховища перейдіть до ШІ-агенти → Новий. Назвіть ШІ-агента (наприклад, "Claude Code") і виберіть, до яких записів він матиме доступ. Clavitor поверне токен налаштування — один рядок, що кодує адресу сховища, ідентифікатор ШІ-агента та ключ шифрування, який йому знадобиться.
Токен використовується один раз і має короткий термін дії (за замовчуванням 15 хвилин). Ставтеся до нього як до пароля: передайте його безпосередньо машині, де працює ШІ-агент, а потім видаліть.
2. Ініціалізуйте CLI на машині ШІ-агента
$ clavitor-cli init <setup-token>
Токен буде розшифровано та збережено як зашифровану локальну конфігурацію (~/.config/clavitor/agent.clv за замовчуванням — права доступу до файлу 0600). Оригінальний токен буде використано і не може бути повторно використаний. Наступний розділ показує, як ШІ-агент використовує CLI з цього моменту.
Налаштуйте проксі
Для ШІ-агентів, які вже працюють з HTTP/HTTPS — Claude Desktop, власні скрипти, будь-що, що використовує requests або fetch. Проксі розташовується між ШІ-агентом та вихідним API, розпізнаючи плейсхолдери clavitor://Entry/field в мережі, щоб ШІ-агент ніколи не зберігав фактичні облікові дані. Дивіться сторінку архітектури проксі для моделі загроз та деталей протоколу.
Посібник написаний у розмовній формі, щоб людина або ШІ-агент могли прочитати його від початку до кінця та виконати на реальній машині. Виберіть свою ОС нижче — кожен розділ є окремою процедурою з шести кроків.
Перед початком: отримайте токен налаштування зі сховища
Вам потрібен токен налаштування з Вашого сховища. Це єдина частина, яку може виконати лише людина — сховище вимагає апаратного дотику для авторизації нового ШІ-агента.
У веб-інтерфейсі сховища перейдіть до ШІ-агенти → Новий, назвіть ШІ-агента (наприклад, "Local Proxy"), виберіть, до яких записів він матиме доступ, і торкніться свого ключа безпеки, коли буде запропоновано. Clavitor поверне одноразовий токен налаштування з TTL 15 хвилин. Скопіюйте його. Решта кроків нижче просять Вас вставити його один раз, а потім забути про нього.
Linux
Посібник нижче використовує bash і передбачає, що Ви працюєте на x86-64; замініть arm64 на amd64, якщо Ви на aarch64.
1. Завантажте бінарний файл проксі та зробіть його виконуваним. Один самодостатній бінарний файл, без залежностей:
$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-linux-amd64 $ chmod +x clavitor-proxy-linux-amd64
2. Бінарний файл на диску. Тепер прив'яжіть його до Вашого сховища. Проксі читає токен налаштування зі стандартного вводу (ніколи з командного рядка, щоб він не потрапив до історії Вашої оболонки). Вставте токен з розділу "Перед початком", коли буде запропоновано:
$ ./clavitor-proxy-linux-amd64 init Paste enrollment token, then press Enter: <paste-the-token-here> ✓ Authenticated.
Щойно сталося: токен було розшифровано локально (без мережевого виклику), адреса сховища + ідентифікатор ШІ-агента + ключ розшифрування облікових даних були записані до зашифрованого сайдкару за адресою ~/.config/clavitor-proxy/agent.clv (режим 0600), і сам токен тепер використано. Вам більше не потрібен.
3. Експортуйте кореневий сертифікат проксі (root CA). Проксі буде завершувати кожне HTTPS-з'єднання, яке робить Ваш ШІ-агент, і на льоту перевипускатиме сертифікат для кожного вихідного хоста. Без довіри до його кореневого сертифіката ці сертифікати не пройдуть перевірку:
$ ./clavitor-proxy-linux-amd64 ca > clavitor-proxy-ca.pem
4. Встановіть кореневий сертифікат (CA) у системне сховище довіри. На Debian/Ubuntu та їх похідних:
$ sudo cp clavitor-proxy-ca.pem /usr/local/share/ca-certificates/clavitor-proxy-ca.crt $ sudo update-ca-certificates
update-ca-certificates має вивести 1 added. Відтепер кожен HTTPS-клієнт на машині (curl, Python's requests, Go's net/http тощо) прийматиме сертифікати проксі як законні.
5. Запустіть проксі. Він прив'язується до 127.0.0.1:1983 і працює на передньому плані; Ctrl-C зупиняє його:
$ ./clavitor-proxy-linux-amd64 serve clavitor-proxy listening on 127.0.0.1:1983
Для постійного налаштування створіть unit systemd, що вказує на той самий бінарний файл, щоб він перезапускався після перезавантаження — дивіться документацію проксі для прикладу unit.
6. Направте Ваш ШІ-агент на проксі та перевірте наскрізну роботу. В іншій оболонці:
$ export HTTPS_PROXY=http://127.0.0.1:1983 $ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models
Що насправді виходить з проксі та досягає серверів OpenAI — запит, який Ваш ШІ-агент ніколи не бачить:
GET /v1/models HTTP/1.1 Host: api.openai.com Authorization: Bearer sk-proj-abc123def456ghi789… ← real key, injected by the proxy User-Agent: curl/8.4.0
Якщо Ви отримаєте JSON-відповідь від OpenAI, все налаштовано правильно. Проксі розпізнав clavitor://OpenAI/key у сховищі за допомогою ключа розшифрування облікових даних з кроку 2, замінив реальний ключ у заголовку Authorization та перенаправив запит. Ваш код ШІ-агента містить лише плейсхолдер; реальний ключ ніколи не залишає пам'ять процесу проксі.
macOS
Посібник нижче використовує zsh (оболонка за замовчуванням на macOS) і передбачає Apple Silicon; замініть amd64 на arm64, якщо Ви на Intel Mac.
1. Завантажте бінарний файл проксі та зробіть його виконуваним. Один самодостатній бінарний файл, без залежностей:
$ curl -LO https://clavitor.ai/downloads/clavitor-proxy-darwin-arm64 $ chmod +x clavitor-proxy-darwin-arm64
Якщо macOS Gatekeeper вперше відмовляється запускати бінарний файл, клацніть його правою кнопкою миші у Finder, виберіть Відкрити та підтвердіть — це зареєструє виняток. Після цього виклик з командного рядка працюватиме.
2. Бінарний файл на диску. Тепер прив'яжіть його до Вашого сховища. Проксі читає токен налаштування зі стандартного вводу (ніколи з командного рядка, щоб він не потрапив до історії Вашої оболонки). Вставте токен з розділу "Перед початком", коли буде запропоновано:
$ ./clavitor-proxy-darwin-arm64 init Paste enrollment token, then press Enter: <paste-the-token-here> ✓ Authenticated.
Щойно сталося: токен було розшифровано локально (без мережевого виклику), адреса сховища + ідентифікатор ШІ-агента + ключ розшифрування облікових даних були записані до зашифрованого сайдкару за адресою ~/.config/clavitor-proxy/agent.clv (режим 0600), і сам токен тепер використано. Вам більше не потрібен.
3. Експортуйте кореневий сертифікат проксі (root CA). Проксі буде завершувати кожне HTTPS-з'єднання, яке робить Ваш ШІ-агент, і на льоту перевипускатиме сертифікат для кожного вихідного хоста. Без довіри до його кореневого сертифіката ці сертифікати не пройдуть перевірку:
$ ./clavitor-proxy-darwin-arm64 ca > clavitor-proxy-ca.pem
4. Встановіть кореневий сертифікат (CA) у системний ланцюжок ключів (System Keychain). Одна команда, запитує Ваш пароль sudo:
$ sudo security add-trusted-cert -d -r trustRoot \
-k /Library/Keychains/System.keychain clavitor-proxy-ca.pemПісля цього Safari, curl, Swift, Python, Go та більшість інших HTTPS-клієнтів на машині прийматимуть сертифікати проксі. (Невелика кількість мовних середовищ постачається з власним набором довірених сертифікатів і потребує окремого налаштування — Ви побачите помилку сертифіката, якщо це так.)
5. Запустіть проксі. Він прив'язується до 127.0.0.1:1983 і працює на передньому плані; Ctrl-C зупиняє його:
$ ./clavitor-proxy-darwin-arm64 serve clavitor-proxy listening on 127.0.0.1:1983
Для постійного налаштування встановіть його як агент launchd, щоб він запускався під час входу в систему та перезапускався у разі збою.
6. Направте Ваш ШІ-агент на проксі та перевірте наскрізну роботу. В іншій оболонці:
$ export HTTPS_PROXY=http://127.0.0.1:1983 $ curl -H "Authorization: Bearer clavitor://OpenAI/key" https://api.openai.com/v1/models
Що насправді виходить з проксі та досягає серверів OpenAI — запит, який Ваш ШІ-агент ніколи не бачить:
GET /v1/models HTTP/1.1 Host: api.openai.com Authorization: Bearer sk-proj-abc123def456ghi789… ← real key, injected by the proxy User-Agent: curl/8.4.0
Якщо Ви отримаєте JSON-відповідь від OpenAI, все налаштовано правильно. Проксі розпізнав clavitor://OpenAI/key у сховищі за допомогою ключа розшифрування облікових даних з кроку 2, замінив реальний ключ у заголовку Authorization та перенаправив запит. Ваш код ШІ-агента містить лише плейсхолдер; реальний ключ ніколи не залишає пам'ять процесу проксі.
Windows
Посібник нижче використовує PowerShell і передбачає 64-розрядну версію Windows; замініть windows-386.exe на windows-amd64.exe, якщо Ви на 32-розрядній версії.
1. Завантажте бінарний файл проксі. Один самодостатній .exe, без залежностей:
> Invoke-WebRequest https://clavitor.ai/downloads/clavitor-proxy-windows-amd64.exe `
-OutFile clavitor-proxy.exeWindows SmartScreen може показати попередження під час першого запуску непідписаного бінарного файлу — натисніть Додаткова інформація → Запустити в будь-якому випадку, щоб дозволити його.
2. Бінарний файл на диску. Тепер прив'яжіть його до Вашого сховища. Проксі читає токен налаштування зі стандартного вводу (ніколи з командного рядка, щоб він не потрапив до історії Вашого PowerShell). Вставте токен з розділу "Перед початком", коли буде запропоновано:
> .\clavitor-proxy.exe init Paste enrollment token, then press Enter: <paste-the-token-here> ✓ Authenticated.
Щойно сталося: токен було розшифровано локально (без мережевого виклику), адреса сховища + ідентифікатор ШІ-агента + ключ розшифрування облікових даних були записані до зашифрованого сайдкару за адресою %APPDATA%\clavitor-proxy\agent.clv, і сам токен тепер використано. Вам більше не потрібен.
3. Експортуйте кореневий сертифікат проксі (root CA). Проксі буде завершувати кожне HTTPS-з'єднання, яке робить Ваш ШІ-агент, і на льоту перевипускатиме сертифікат для кожного вихідного хоста. Без довіри до його кореневого сертифіката ці сертифікати не пройдуть перевірку:
> .\clavitor-proxy.exe ca > clavitor-proxy-ca.pem
4. Встановіть кореневий сертифікат (CA) у локальне сховище довірених кореневих сертифікатів (Local Machine Trusted Root store). Відкрийте підвищений PowerShell (клацніть правою кнопкою миші на PowerShell → Запустити як адміністратор) та виконайте:
> certutil -addstore -f "ROOT" clavitor-proxy-ca.pem
Після цього Edge, .NET, curl.exe та більшість HTTP-клієнтів на машині прийматимуть сертифікати проксі. (Firefox підтримує власне сховище довіри; якщо Ви тестуєте через Firefox, імпортуйте CA окремо в Налаштування → Конфіденційність і безпека → Сертифікати → Переглянути сертифікати → Органи → Імпорт.)
5. Запустіть проксі. Він прив'язується до 127.0.0.1:1983 і працює на передньому плані; Ctrl-C зупиняє його:
> .\clavitor-proxy.exe serve clavitor-proxy listening on 127.0.0.1:1983
Для постійного налаштування зареєструйте його як службу Windows або заплановане завдання, щоб він запускався під час завантаження.
6. Направте Ваш ШІ-агент на проксі та перевірте наскрізну роботу. В іншому вікні PowerShell:
> $env:HTTPS_PROXY = "http://127.0.0.1:1983"
> curl.exe -H "Authorization: Bearer clavitor://OpenAI/key" `
https://api.openai.com/v1/models(Використовуйте curl.exe явно — псевдонім curl у PowerShell вказує на Invoke-WebRequest, який по-різному обробляє змінну середовища проксі.) Що насправді виходить з проксі та досягає серверів OpenAI — запит, який Ваш ШІ-агент ніколи не бачить:
GET /v1/models HTTP/1.1 Host: api.openai.com Authorization: Bearer sk-proj-abc123def456ghi789… ← real key, injected by the proxy User-Agent: curl/8.4.0
Якщо Ви отримаєте JSON-відповідь від OpenAI, все налаштовано правильно. Проксі розпізнав clavitor://OpenAI/key у сховищі за допомогою ключа розшифрування облікових даних з кроку 2, замінив реальний ключ у заголовку Authorization та перенаправив запит. Ваш код ШІ-агента містить лише плейсхолдер; реальний ключ ніколи не залишає пам'ять процесу проксі.
Встановіть навичку Claude Code
CLI постачається з вбудованим визначенням навички, яке навчає Claude Code використовувати Ваше сховище. Одна команда встановлює його.
# Install globally (all projects) $ clavitor-cli skill > ~/.claude/skills/clavitor.md # Or install for a specific project $ clavitor-cli skill > /path/to/project/.claude/skills/clavitor.md
Навичка вбудована в бінарний файл. Оновіть її, завантаживши новий реліз.
Використовуйте
Ваш ШІ-агент тепер може отримувати облікові дані, генерувати коди TOTP та зберігати нові секрети. Кожен доступ реєструється в журналі аудиту сховища.
# Fetch a credential $ clavitor-cli get github # Generate a TOTP code $ clavitor-cli totp github # Store a new credential $ clavitor-cli put credential "AWS Prod" --username admin --password s3cret # List all entries $ clavitor-cli list
Один виклик CLI. Кожен секрет.
Ваше сховище, Ваші області доступу, Ваш журнал аудиту. Жодних змінних середовища, жодних конфігураційних файлів, жодних секретів у логах.