OneCLI: AI 에이전트를 위한 오픈소스 자격 증명 저장소

OneCLI가 해결하는 문제

AI 에이전트는 외부 서비스에 접근하기 위해 원시 API 키를 자주 부여받아 보안 위험을 초래합니다. OneCLI는 이 문제를 해결하기 위해 에이전트와 호출하는 서비스 사이에 위치하는 자격 증명 저장소 역할을 합니다. 모든 에이전트에 API 키를 직접 삽입하는 대신, 자격 증명을 OneCLI의 암호화된 저장소에 한 번 저장하고 에이전트에는 FAKE_KEY와 같은 플레이스홀더 키를 제공합니다.

작동 방식

에이전트가 OneCLI 프록시를 통해 HTTP 호출을 할 때, 게이트웨이는 호스트와 경로 패턴으로 요청을 매칭하고, 에이전트의 접근 권한을 검증한 후, 플레이스홀더를 실제 자격 증명으로 교체하여 요청을 전달합니다. 에이전트는 실제 비밀 키를 절대 접촉하지 않으며, 일반적인 CLI나 MCP 도구를 사용하기만 합니다.

기술 아키텍처

• Rust 게이트웨이: 아웃바운드 요청을 가로채고 자격 증명을 주입하는 빠른 HTTP 게이트웨이입니다. 에이전트는 Proxy-Authorization 헤더를 통해 액세스 토큰으로 인증합니다.
• 웹 대시보드: 에이전트, 비밀 정보 및 권한을 관리하기 위한 Next.js 애플리케이션입니다 (포트 10254).
• 비밀 저장소: AES-256-GCM 암호화된 자격 증명 저장소입니다. 비밀 정보는 요청 시점에만 복호화됩니다.
• 내장 데이터베이스: 내장된 PGlite(PostgreSQL 호환)와 함께 실행되거나 외부 PostgreSQL을 사용할 수 있습니다.

빠른 시작

Docker로 로컬에서 실행:

docker run --pull always -p 10254:10254 -p 10255:10255 -v onecli-data:/app/data ghcr.io/onecli/onecli

그런 다음 http://localhost:10254을 열고, 에이전트를 생성하고, 비밀 정보를 추가한 후, 에이전트의 HTTP 게이트웨이를 localhost:10255로 설정합니다.

주요 기능

• 투명한 자격 증명 주입: 에이전트는 일반적인 HTTP 호출을 수행합니다
• AES-256-GCM 암호화를 통한 암호화된 비밀 정보 저장소
• 특정 API 엔드포인트로 비밀 정보를 라우팅하기 위한 호스트 및 경로 패턴 매칭
• 에이전트별 범위 지정 권한을 지원하는 다중 에이전트 지원
• 단일 컨테이너 모드에서 외부 종속성 없음
• 두 가지 인증 모드: 로컬 사용을 위한 단일 사용자(로그인 없음) 또는 팀을 위한 Google OAuth
• Apache-2.0 라이선스

호환성

모든 에이전트 프레임워크(OpenClaw, NanoClaw, IronClaw 또는 HTTPS_PROXY를 설정할 수 있는 모든 것)와 호환됩니다. 이 프로젝트는 포트 10255의 Rust 프록시와 포트 10254의 Next.js 대시보드로 구성되어 있습니다.