OneCLI : Coffre-fort d'identifiants open source pour agents IA

Ce que OneCLI résout
Les agents d'IA reçoivent fréquemment des clés API brutes pour accéder aux services externes, ce qui crée des risques de sécurité. OneCLI résout ce problème en agissant comme un coffre-fort d'identifiants qui se place entre les agents et les services qu'ils appellent. Au lieu d'intégrer des clés API dans chaque agent, vous stockez les identifiants une fois dans le coffre-fort chiffré de OneCLI et donnez aux agents des clés de substitution (comme FAKE_KEY).
Comment cela fonctionne
Lorsqu'un agent effectue un appel HTTP via le proxy OneCLI, la passerelle fait correspondre la requête par motifs d'hôte et de chemin, vérifie que l'agent devrait avoir accès, remplace le substitut par l'identifiant réel, et transmet la requête. L'agent ne touche jamais au secret réel—il utilise simplement les outils CLI ou MCP normalement.
Architecture technique
- Passerelle Rust : Passerelle HTTP rapide qui intercepte les requêtes sortantes et injecte les identifiants. Les agents s'authentifient avec des jetons d'accès via les en-têtes Proxy-Authorization.
- Tableau de bord web : Application Next.js pour gérer les agents, les secrets et les permissions (port 10254).
- Stockage des secrets : Stockage d'identifiants chiffré AES-256-GCM. Les secrets ne sont déchiffrés qu'au moment de la requête.
- Base de données intégrée : Fonctionne avec PGlite intégré (compatible PostgreSQL) ou peut utiliser PostgreSQL externe.
Démarrage rapide
Exécutez localement avec Docker :
docker run --pull always -p 10254:10254 -p 10255:10255 -v onecli-data:/app/data ghcr.io/onecli/onecliPuis ouvrez http://localhost:10254, créez un agent, ajoutez vos secrets, et dirigez la passerelle HTTP de votre agent vers localhost:10255.
Fonctionnalités clés
- Injection transparente d'identifiants : les agents effectuent des appels HTTP normaux
- Stockage de secrets chiffré avec chiffrement AES-256-GCM au repos
- Correspondance de motifs d'hôte et de chemin pour acheminer les secrets vers des points de terminaison API spécifiques
- Prise en charge multi-agents avec permissions délimitées par agent
- Aucune dépendance externe en mode conteneur unique
- Deux modes d'authentification : utilisateur unique (pas de connexion) pour un usage local, ou Google OAuth pour les équipes
- Sous licence Apache-2.0
Compatibilité
Fonctionne avec n'importe quel framework d'agents (OpenClaw, NanoClaw, IronClaw, ou tout ce qui peut définir un HTTPS_PROXY). Le projet est structuré avec le proxy Rust sur le port 10255 et le tableau de bord Next.js sur le port 10254.
📖 Read the full source: HN AI Agents
👀 See Also

Cache-œil : Un Plugin Qui Empêche le Code Claude de Lire Vos Fichiers .env
Blindfold est un nouveau plugin qui empêche Claude Code d'accéder aux valeurs secrètes réelles dans les fichiers .env en les conservant dans le trousseau du système d'exploitation et en utilisant des espaces réservés comme {{STRIPE_KEY}}, avec des crochets qui bloquent les tentatives d'accès direct.

Outil de Pentest MCPwner AI Découvre Plusieurs Vulnérabilités 0-Day dans OpenClaw
MCPwner, un serveur MCP qui orchestre des agents d'IA pour des tests de pénétration automatisés, a identifié plusieurs vulnérabilités critiques de type 0-day dans OpenClaw, notamment des injections de variables d'environnement, des contournements de permissions et des failles de divulgation d'informations que les scanners standards ont manquées.

FakeKey : un outil de sécurité pour clés API basé sur Rust qui remplace les clés réelles par des fausses
FakeKey est un outil de sécurité basé sur Rust qui remplace les vraies clés API par des fausses dans les environnements d'application, stockant les vraies clés chiffrées dans le trousseau natif du système et ne les injectant que lors des requêtes HTTP/S.

Comprendre les ClawBands : Bandes de sécurité pour les agents OpenClaw
Les ClawBands offrent une amélioration de la sécurité pour les agents OpenClaw, probablement axée sur le contrôle d'accès ou la gestion sécurisée des données.