Kontext CLI: Corretor de Credenciais para Agentes de IA de Codificação

O que o Kontext CLI faz

O Kontext CLI é uma ferramenta de linha de comando de código aberto que envolve agentes de codificação de IA para fornecer gerenciamento de credenciais sem expor chaves de API. Ele aborda o problema de equipes copiando e colando chaves de API de longa duração em arquivos .env ou interfaces de chat, o que cria dispersão de segredos e falta de rastreamento de acesso.

Como funciona

Você declara quais credenciais um projeto precisa em um arquivo .env.kontext com espaços reservados como:

GITHUB_TOKEN={{kontext:github}}
STRIPE_KEY={{kontext:stripe}}
LINEAR_TOKEN={{kontext:linear}}

Em seguida, execute kontext start --agent claude. O CLI autentica você via OIDC e troca os espaços reservados por credenciais:

• Para serviços que suportam OAuth: tokens de acesso de curta duração via troca de tokens RFC 8693
• Para chaves de API estáticas: credenciais injetadas diretamente no ambiente de execução do agente

Os segredos existem apenas na memória durante a sessão — nunca são gravados no disco da sua máquina. O backend mantém tokens de atualização OAuth e chaves de API; o CLI nunca os vê, recebendo apenas tokens de acesso de curta duração com escopo para a sessão.

Principais recursos

• Um comando para iniciar o Claude Code: kontext start --agent claude
• Credenciais efêmeras: tokens de curta duração com escopo para a sessão, expirados automaticamente ao sair
• Modelos de credenciais declarativos em arquivos .env.kontext
• Telemetria de governança: eventos de hook do Claude transmitidos para o backend com atribuição de usuário, sessão e organização
• Seguro por padrão: autenticação OIDC, armazenamento em chaveiro do sistema, troca de tokens RFC 8693
• Runtime leve: binário Go nativo (~5ms de sobrecarga de hook por chamada de ferramenta), usa ConnectRPC para comunicação com o backend
• Notificações de atualização em kontext start (armazenadas em cache por 24h, desative com KONTEXT_NO_UPDATE_CHECK=1)

Instalação e uso

Instale com: brew install kontext-dev/tap/kontext

Ou instalação direta do binário:

tmpdir="$(mktemp -d)" \
&& gh release download --repo kontext-dev/kontext-cli --pattern 'kontext_*_darwin_arm64.tar.gz' --dir "$tmpdir" \
&& archive="$(find "$tmpdir" -maxdepth 1 -name 'kontext_*_darwin_arm64.tar.gz' -print -quit)" \
&& tar -xzf "$archive" -C "$tmpdir" \
&& sudo install -m 0755 "$tmpdir/kontext" /usr/local/bin/kontext

De qualquer diretório de projeto com o Claude Code instalado: kontext start --agent claude

Na primeira execução, o CLI gerencia tudo interativamente — login, conexões de provedores, resolução de credenciais. Limpe a sessão OIDC armazenada com kontext logout.

Auditoria e governança

O CLI captura para cada chamada de ferramenta: o que o agente tentou fazer, o que aconteceu, se foi permitido e quem fez — atribuído a um usuário, sessão e organização. Cada chamada de ferramenta é transmitida para auditoria enquanto o agente é executado.

Funciona com o Claude Code hoje, suporte ao Codex em breve. A aplicação de políticas no lado do servidor está em desenvolvimento — a infraestrutura para decisões de permitir/negar em cada chamada de ferramenta já está conectada.