Kontext CLI: AIコーディングエージェント向け認証情報ブローカー

Kontext CLIの機能

Kontext CLIは、APIキーを公開せずに認証情報管理を提供するためにAIコーディングエージェントをラップするオープンソースのコマンドラインツールです。チームが長期間有効なAPIキーを.envファイルやチャットインターフェースにコピー＆ペーストする問題に対処し、これによりシークレットの散乱やアクセス履歴の欠如が生じるのを防ぎます。

仕組み

プロジェクトが必要とする認証情報を、以下のようなプレースホルダーを使用して.env.kontextファイルで宣言します：

GITHUB_TOKEN={{kontext:github}}
STRIPE_KEY={{kontext:stripe}}
LINEAR_TOKEN={{kontext:linear}}

次にkontext start --agent claudeを実行します。CLIはOIDCで認証し、プレースホルダーを認証情報と交換します：

• OAuthをサポートするサービス：RFC 8693トークン交換による短期アクセストークン
• 静的APIキー：エージェントのランタイム環境に直接注入される認証情報

シークレットはセッション中のみメモリ内に存在し、マシンのディスクに書き込まれることはありません。バックエンドがOAuthリフレッシュトークンとAPIキーを保持し、CLIはそれらを参照せず、セッションにスコープされた短期アクセストークンのみを受け取ります。

主な機能

• Claude Codeを起動するワンコマンド：kontext start --agent claude
• 一時的な認証情報：セッションにスコープされた短期トークンで、終了時に自動的に期限切れ
• .env.kontextファイルでの宣言的な認証情報テンプレート
• ガバナンステレメトリ：ユーザー、セッション、組織属性付きでバックエンドにストリーミングされるClaudeフックイベント
• デフォルトで安全：OIDC認証、システムキーリングストレージ、RFC 8693トークン交換
• 軽量ランタイム：ネイティブGoバイナリ（ツール呼び出しごとに約5msのフックオーバーヘッド）、バックエンド通信にConnectRPCを使用
• kontext startでの更新通知（24時間キャッシュ、KONTEXT_NO_UPDATE_CHECK=1で無効化可能）

インストールと使用方法

インストール方法：brew install kontext-dev/tap/kontext

または直接バイナリインストール：

tmpdir="$(mktemp -d)" \
&& gh release download --repo kontext-dev/kontext-cli --pattern 'kontext_*_darwin_arm64.tar.gz' --dir "$tmpdir" \
&& archive="$(find "$tmpdir" -maxdepth 1 -name 'kontext_*_darwin_arm64.tar.gz' -print -quit)" \
&& tar -xzf "$archive" -C "$tmpdir" \
&& sudo install -m 0755 "$tmpdir/kontext" /usr/local/bin/kontext

Claude Codeがインストールされた任意のプロジェクトディレクトリから：kontext start --agent claude

初回実行時、CLIはすべてを対話的に処理します—ログイン、プロバイダー接続、認証情報解決。保存されたOIDCセッションはkontext logoutでクリアします。

監査とガバナンス

CLIはすべてのツール呼び出しについて以下をキャプチャします：エージェントが実行しようとした内容、何が起こったか、許可されたかどうか、誰が実行したか—ユーザー、セッション、組織に帰属。すべてのツール呼び出しは、エージェントの実行中に監査用にストリーミングされます。

現在Claude Codeで動作し、Codexサポートは近日公開予定。サーバーサイドのポリシー強制は開発中で、すべてのツール呼び出しに対する許可/拒否決定のインフラストラクチャは既に配線されています。