Kontext CLI: AI 코딩 에이전트용 자격 증명 브로커

Kontext CLI의 기능

Kontext CLI는 API 키를 노출하지 않고 자격 증명 관리를 제공하기 위해 AI 코딩 에이전트를 감싸는 오픈소스 명령줄 도구입니다. 이는 팀이 장기적인 API 키를 .env 파일이나 채팅 인터페이스에 복사-붙여넣기하는 문제를 해결하며, 이는 비밀 확산과 접근 계보 부족을 초래합니다.

작동 방식

프로젝트에 필요한 자격 증명을 다음과 같은 플레이스홀더를 사용하여 .env.kontext 파일에 선언합니다:

GITHUB_TOKEN={{kontext:github}}
STRIPE_KEY={{kontext:stripe}}
LINEAR_TOKEN={{kontext:linear}}

그런 다음 kontext start --agent claude를 실행합니다. CLI는 OIDC를 통해 사용자를 인증하고 플레이스홀더를 자격 증명으로 교환합니다:

• OAuth를 지원하는 서비스의 경우: RFC 8693 토큰 교환을 통한 단기 액세스 토큰
• 정적 API 키의 경우: 에이전트의 런타임 환경에 직접 주입되는 자격 증명

비밀은 세션 중에만 메모리에 존재하며 — 사용자의 기기에 디스크에 기록되지 않습니다. 백엔드는 OAuth 갱신 토큰과 API 키를 보유하며; CLI는 이를 절대 보지 않고, 세션 범위의 단기 액세스 토큰만 받습니다.

주요 기능

• Claude Code를 시작하는 한 명령어: kontext start --agent claude
• 일시적 자격 증명: 세션 범위의 단기 토큰, 종료 시 자동 만료
• .env.kontext 파일의 선언적 자격 증명 템플릿
• 거버넌스 원격 측정: 사용자, 세션 및 조직 속성이 있는 Claude 훅 이벤트가 백엔드로 스트리밍됨
• 기본적으로 안전함: OIDC 인증, 시스템 키링 저장소, RFC 8693 토큰 교환
• 가벼운 런타임: 네이티브 Go 바이너리(~5ms 훅 오버헤드 per tool call), 백엔드 통신에 ConnectRPC 사용
• kontext start 시 업데이트 알림 (24시간 동안 캐시됨, KONTEXT_NO_UPDATE_CHECK=1로 비활성화 가능)

설치 및 사용법

설치 방법: brew install kontext-dev/tap/kontext

또는 직접 바이너리 설치:

tmpdir="$(mktemp -d)" \
&& gh release download --repo kontext-dev/kontext-cli --pattern 'kontext_*_darwin_arm64.tar.gz' --dir "$tmpdir" \
&& archive="$(find "$tmpdir" -maxdepth 1 -name 'kontext_*_darwin_arm64.tar.gz' -print -quit)" \
&& tar -xzf "$archive" -C "$tmpdir" \
&& sudo install -m 0755 "$tmpdir/kontext" /usr/local/bin/kontext

Claude Code가 설치된 프로젝트 디렉토리에서: kontext start --agent claude

첫 실행 시, CLI는 모든 것을 대화형으로 처리합니다 — 로그인, 공급자 연결, 자격 증명 해결. 저장된 OIDC 세션은 kontext logout으로 지웁니다.

감사 및 거버넌스

CLI는 모든 도구 호출에 대해 캡처합니다: 에이전트가 시도한 작업, 발생한 일, 허용되었는지 여부, 그리고 누가 수행했는지 — 사용자, 세션 및 조직에 귀속됩니다. 모든 도구 호출은 에이전트 실행 중 감사를 위해 스트리밍됩니다.

현재 Claude Code와 함께 작동하며, Codex 지원이 곧 제공될 예정입니다. 서버 측 정책 시행은 개발 중입니다 — 모든 도구 호출에 대한 허용/거부 결정을 위한 인프라는 이미 연결되어 있습니다.