SkyClaw führt verschlüsselte Chat-basierte API-Schlüssel-Einrichtung für KI-Agenten ein

SkyClaw führt eine Methode zum sicheren Einrichten von API-Schlüsseln über Chat-Oberflächen ein, ohne sie für LLMs oder Messaging-Plattformen freizulegen. Das System adressiert die Arbeitsablaufreibung traditioneller selbst gehosteter Agenten, die SSH-Zugriff, Konfigurationsdateiänderungen und Dienstneustarts erfordern, um Schlüssel zu ändern.

Funktionsweise

Die Lösung hat zwei Sicherheitsebenen:

• Ebene 1 — System-Abfang: Schlüsselbefehle (/addkey, /keys, /removekey) und verschlüsselte Blobs (beginnend mit enc:v1:) werden in main.rs abgefangen, bevor Nachrichten den Agenten erreichen. Der Rust-Prozess entschlüsselt, validiert und speichert im Tresor, wobei das LLM vollständig von Anmeldeoperationen ausgeschlossen bleibt.
• Ebene 2 — OTK-Verschlüsselung: Nutzt URL-Fragmente (#), die gemäß RFC 3986 niemals an Server gesendet werden. Der Ablauf: Bot sendet setup.page/#one-time-256bit-key, Browser verschlüsselt API-Schlüssel lokal mit AES-256-GCM über WebCrypto, Benutzer fügt verschlüsselten Blob zurück in den Chat ein, Bot entschlüsselt auf Systemebene und speichert, dann vernichtet den Einmalschlüssel.

Sicherheitsergebnisse

• Messaging-Plattformen sehen nur Chiffretext (nutzlos ohne OTK)
• Das LLM sieht nichts (vor Agentenschleife abgefangen)
• GitHub Pages sieht nur GET /setup
• Funktioniert auf jeder Plattform, die Text sendet/empfängt

Vergleich mit anderen Projekten

Die Source identifiziert Einschränkungen aktueller Lösungen:

• OpenClaw: Nutzt Konfigurationsdateien, Umgebungsvariablen, CLI-Assistenten, optionale externe Geheimnis-Manager. GitHub Issue #11829 stellt fest: "OpenClaw hat derzeit mehrere Vektoren, über die API-Schlüssel an das LLM gelangen oder im Chat offengelegt werden können." Issue #19137 dokumentiert config.get-Leckagen von API-Schlüsseln in Sitzungstranskript-JSONL-Dateien.
• OpenFang (Rust): Nutzt in config.toml referenzierte Umgebungsvariablen (api_key_env = "ANTHROPIC_API_KEY"), CLI-Initialisierungsassistenten, Dashboard-UI. Hat starke Sicherheit im Ruhezustand mit Zeroizing<String> und AES-256-GCM-Anmeldedatentresor, aber keine sichere Schlüsselaufnahme aus Chat.
• NanoClaw: Nutzt ANTHROPIC_API_KEY oder CLAUDE_CODE_OAUTH_TOKEN Umgebungsvariablen, die während /setup-Skill gesetzt werden. Im Docker-Sandbox-Modus ersetzt proxybasiertes System Sentinel-Werte, aber immer noch kein verschlüsselter Schlüsseltransport über Messaging.
• PicoClaw: Nutzt ~/.picoclaw/config.json mit Umgebungsvariablen-Überschreibungen (PICOCLAW_PROVIDERS_*). Issue #972 dokumentiert Subagent-Anmeldedatenlecks, wenn Selbstheilungslogik config.json liest und rohe API-Schlüssel in Chat-Protokolle einfügt.

Das grundlegende Problem, wie OpenClaws Issue #7916 feststellt: "Schlüssel müssen im Klartext vorliegen, damit [das System] operieren kann." Externe Geheimnis-Manager verschieben die Klartextexposition auf Laufzeit, aber niemand verschlüsselt den Transport.

Technische Details

URL-Fragmente funktionieren, weil gemäß RFC 3986 # und alles danach niemals in HTTP-Anfragen an den Server gesendet wird, nicht im Referer-Header enthalten ist, nicht von CDNs/Proxies/Webservern protokolliert wird und vollständig clientseitig verarbeitet wird. GitHub Pages empfängt GET /setup ohne Kenntnis des OTK.

Der Nachrichtenhandler in main.rs hat strikte Prioritätsreihenfolge: Schlüsselbefehle und verschlüsselte Blobs werden zuerst abgeglichen und kehren sofort zurück, fallen niemals zum Agenten durch. Das LLM erhält nur Nachrichten, die alle Prüfungen passieren. Auf der Ausgabeseite umhüllt ein SecretCensorChannel jede ausgehende Nachricht.