Kontext CLI: Anmeldeinformations-Broker für KI-Codierungsagenten

Was Kontext CLI macht

Kontext CLI ist ein Open-Source-Kommandozeilen-Tool, das KI-Coding-Agenten umhüllt, um Credential-Management ohne Offenlegung von API-Schlüsseln zu ermöglichen. Es löst das Problem, dass Teams langlebige API-Schlüssel in .env-Dateien oder Chat-Oberflächen kopieren und einfügen, was zu Secret-Sprawl und fehlender Zugriffsnachverfolgung führt.

Wie es funktioniert

Sie deklarieren, welche Credentials ein Projekt benötigt, in einer .env.kontext-Datei mit Platzhaltern wie:

GITHUB_TOKEN={{kontext:github}}
STRIPE_KEY={{kontext:stripe}}
LINEAR_TOKEN={{kontext:linear}}

Dann führen Sie kontext start --agent claude aus. Die CLI authentifiziert Sie über OIDC und tauscht Platzhalter gegen Credentials aus:

• Für Dienste mit OAuth-Unterstützung: Kurzlebige Zugriffstoken über RFC 8693 Token Exchange
• Für statische API-Schlüssel: Credentials werden direkt in die Laufzeitumgebung des Agenten injiziert

Geheimnisse existieren nur im Speicher während der Sitzung – nie auf der Festplatte Ihres Rechners. Das Backend hält OAuth-Refresh-Token und API-Schlüssel; die CLI sieht sie nie und erhält nur kurzlebige Zugriffstoken zurück, die auf die Sitzung beschränkt sind.

Wichtige Funktionen

• Ein Befehl zum Starten von Claude Code: kontext start --agent claude
• Ephemere Credentials: Kurzlebige Token, auf die Sitzung beschränkt, automatisch beim Beenden abgelaufen
• Deklarative Credential-Vorlagen in .env.kontext-Dateien
• Governance-Telemetrie: Claude-Hook-Ereignisse werden mit Benutzer-, Sitzungs- und Organisationszuordnung an das Backend gestreamt
• Sicherheit standardmäßig: OIDC-Authentifizierung, System-Keyring-Speicher, RFC 8693 Token Exchange
• Schlanke Laufzeit: Native Go-Binärdatei (~5ms Hook-Overhead pro Tool-Aufruf), verwendet ConnectRPC für Backend-Kommunikation
• Update-Benachrichtigungen bei kontext start (24h gecached, deaktivierbar mit KONTEXT_NO_UPDATE_CHECK=1)

Installation und Verwendung

Installieren mit: brew install kontext-dev/tap/kontext

Oder direkte Binärinstallation:

tmpdir="$(mktemp -d)" \
&& gh release download --repo kontext-dev/kontext-cli --pattern 'kontext_*_darwin_arm64.tar.gz' --dir "$tmpdir" \
&& archive="$(find "$tmpdir" -maxdepth 1 -name 'kontext_*_darwin_arm64.tar.gz' -print -quit)" \
&& tar -xzf "$archive" -C "$tmpdir" \
&& sudo install -m 0755 "$tmpdir/kontext" /usr/local/bin/kontext

Aus jedem Projektverzeichnis mit installiertem Claude Code: kontext start --agent claude

Beim ersten Start erledigt die CLI alles interaktiv – Login, Provider-Verbindungen, Credential-Auflösung. Gespeicherte OIDC-Sitzung mit kontext logout löschen.

Audit und Governance

Die CLI erfasst für jeden Tool-Aufruf: Was der Agent versucht hat, was passiert ist, ob es erlaubt war und wer es getan hat – zugeordnet zu einem Benutzer, einer Sitzung und einer Organisation. Jeder Tool-Aufruf wird während der Ausführung des Agenten für Audit-Zwecke gestreamt.

Funktioniert bereits heute mit Claude Code, Codex-Unterstützung folgt bald. Serverseitige Policy-Durchsetzung ist in Entwicklung – die Infrastruktur für Erlaubt/Verweigert-Entscheidungen bei jedem Tool-Aufruf ist bereits verkabelt.