SkyClaw ajoute une configuration de clé API chiffrée basée sur le chat pour les agents IA

SkyClaw introduit une méthode pour configurer de manière sécurisée les clés API via des interfaces de chat sans les exposer aux LLM ou aux plateformes de messagerie. Le système résout les frictions de flux de travail des agents auto-hébergés traditionnels qui nécessitent un accès SSH, des modifications de fichiers de configuration et des redémarrages de service pour changer les clés.

Fonctionnement

La solution comporte deux couches de sécurité :

• Couche 1 — Interception système : Les commandes de clés (/addkey, /keys, /removekey) et les blobs chiffrés (commençant par enc:v1:) sont interceptées dans main.rs avant que les messages n'atteignent l'agent. Le processus Rust déchiffre, valide et enregistre dans le coffre-fort, gardant le LLM totalement à l'écart des opérations d'identification.
• Couche 2 — Chiffrement OTK : Utilise des fragments d'URL (#) qui ne sont jamais envoyés aux serveurs selon la RFC 3986. Le flux : le bot envoie setup.page/#one-time-256bit-key, le navigateur chiffre la clé API localement avec AES-256-GCM via WebCrypto, l'utilisateur colle le blob chiffré dans le chat, le bot le déchiffre au niveau système et l'enregistre, puis détruit la clé unique.

Résultats de sécurité

• Les plateformes de messagerie ne voient que du texte chiffré (inutile sans OTK)
• Le LLM ne voit rien (intercepté avant la boucle de l'agent)
• GitHub Pages ne voit que GET /setup
• Fonctionne sur toute plateforme qui envoie/reçoit du texte

Comparaison avec d'autres projets

La source identifie les limites des solutions actuelles :

• OpenClaw : Utilise des fichiers de configuration, des variables d'environnement, un assistant CLI, des gestionnaires de secrets externes optionnels. Le problème GitHub #11829 indique : "OpenClaw présente actuellement plusieurs vecteurs par lesquels les clés API peuvent fuiter vers le LLM ou être exposées dans le chat." Le problème #19137 documente que config.get fuit des clés API dans les fichiers JSONL des transcriptions de session.
• OpenFang (Rust) : Utilise des variables d'environnement référencées dans config.toml (api_key_env = "ANTHROPIC_API_KEY"), un assistant d'initialisation CLI, une interface utilisateur de tableau de bord. Offre une sécurité forte au repos avec Zeroizing<String> et un coffre-fort d'identifiants AES-256-GCM, mais pas d'ingestion sécurisée de clés depuis le chat.
• NanoClaw : Utilise les variables d'environnement ANTHROPIC_API_KEY ou CLAUDE_CODE_OAUTH_TOKEN définies pendant la compétence /setup. En mode Sandbox Docker, le système basé sur proxy substitue des valeurs sentinelles, mais toujours pas de transit chiffré des clés via la messagerie.
• PicoClaw : Utilise ~/.picoclaw/config.json avec des remplacements par variables d'environnement (PICOCLAW_PROVIDERS_*). Le problème #972 documente la fuite d'identifiants des sous-agents lorsque la logique d'auto-réparation lit config.json et écho les clés API brutes dans les journaux de chat.

Le problème fondamental, comme l'indique le problème #7916 d'OpenClaw : "les clés doivent être en texte clair pour que [le système] fonctionne." Les gestionnaires de secrets externes reportent l'exposition en texte clair à l'exécution, mais personne ne chiffre le transit.

Détails techniques

Les fragments d'URL fonctionnent car selon la RFC 3986, le # et tout ce qui le suit n'est jamais envoyé au serveur dans les requêtes HTTP, n'est pas inclus dans l'en-tête Referer, n'est pas journalisé par les CDN/proxies/serveurs web, et est traité entièrement côté client. GitHub Pages reçoit GET /setup sans aucune connaissance de l'OTK.

Le gestionnaire de messages dans main.rs a un ordre de priorité strict : les commandes de clés et les blobs chiffrés sont d'abord appariés et retournent immédiatement, ne passant jamais à l'agent. Le LLM ne reçoit que les messages qui passent tous les contrôles. Côté sortie, un SecretCensorChannel encapsule chaque message sortant.