Kontext CLI : Courtier d'identification pour agents d'IA de codage

Ce que fait Kontext CLI

Kontext CLI est un outil en ligne de commande open source qui encapsule les agents d'IA de codage pour fournir une gestion des identifiants sans exposer les clés API. Il résout le problème des équipes qui copient-collent des clés API à longue durée de vie dans des fichiers .env ou des interfaces de chat, ce qui crée une prolifération de secrets et manque de traçabilité d'accès.

Comment cela fonctionne

Vous déclarez les identifiants dont un projet a besoin dans un fichier .env.kontext avec des espaces réservés comme :

GITHUB_TOKEN={{kontext:github}}
STRIPE_KEY={{kontext:stripe}}
LINEAR_TOKEN={{kontext:linear}}

Puis exécutez kontext start --agent claude. Le CLI vous authentifie via OIDC et échange les espaces réservés contre des identifiants :

• Pour les services prenant en charge OAuth : jetons d'accès à courte durée de vie via l'échange de jetons RFC 8693
• Pour les clés API statiques : identifiants injectés directement dans l'environnement d'exécution de l'agent

Les secrets n'existent qu'en mémoire pendant la session — jamais écrits sur le disque de votre machine. Le backend détient les jetons de rafraîchissement OAuth et les clés API ; le CLI ne les voit jamais, ne recevant que des jetons d'accès à courte durée de vie limités à la session.

Fonctionnalités clés

• Une commande pour lancer Claude Code : kontext start --agent claude
• Identifiants éphémères : jetons à courte durée de vie limités à la session, expirant automatiquement à la sortie
• Modèles d'identifiants déclaratifs dans les fichiers .env.kontext
• Télémétrie de gouvernance : événements de hook Claude diffusés en continu vers le backend avec attribution utilisateur, session et organisation
• Sécurisé par défaut : authentification OIDC, stockage dans le trousseau système, échange de jetons RFC 8693
• Runtime léger : binaire Go natif (~5ms de surcharge de hook par appel d'outil), utilise ConnectRPC pour la communication backend
• Notifications de mise à jour sur kontext start (mises en cache pendant 24h, désactiver avec KONTEXT_NO_UPDATE_CHECK=1)

Installation et utilisation

Installez avec : brew install kontext-dev/tap/kontext

Ou installation directe du binaire :

tmpdir="$(mktemp -d)" \
&& gh release download --repo kontext-dev/kontext-cli --pattern 'kontext_*_darwin_arm64.tar.gz' --dir "$tmpdir" \
&& archive="$(find "$tmpdir" -maxdepth 1 -name 'kontext_*_darwin_arm64.tar.gz' -print -quit)" \
&& tar -xzf "$archive" -C "$tmpdir" \
&& sudo install -m 0755 "$tmpdir/kontext" /usr/local/bin/kontext

Depuis n'importe quel répertoire de projet avec Claude Code installé : kontext start --agent claude

Lors de la première exécution, le CLI gère tout de manière interactive — connexion, connexions aux fournisseurs, résolution des identifiants. Effacez la session OIDC stockée avec kontext logout.

Audit et gouvernance

Le CLI capture pour chaque appel d'outil : ce que l'agent a tenté de faire, ce qui s'est passé, si cela a été autorisé, et qui l'a fait — attribué à un utilisateur, une session et une organisation. Chaque appel d'outil est diffusé en continu pour audit pendant l'exécution de l'agent.

Fonctionne avec Claude Code dès aujourd'hui, support de Codex à venir bientôt. L'application de politiques côté serveur est en développement — l'infrastructure pour les décisions d'autorisation/refus sur chaque appel d'outil est déjà câblée.