Kontext CLI: Брокер учетных данных для AI-агентов программирования

Что делает Kontext CLI

Kontext CLI — это инструмент командной строки с открытым исходным кодом, который оборачивает AI-агентов для программирования, чтобы обеспечить управление учетными данными без раскрытия API-ключей. Он решает проблему, когда команды копируют долгоживущие API-ключи в .env-файлы или интерфейсы чатов, что приводит к расползанию секретов и отсутствию отслеживания доступа.

Как это работает

Вы объявляете, какие учетные данные нужны проекту, в файле .env.kontext с заполнителями, например:

GITHUB_TOKEN={{kontext:github}}
STRIPE_KEY={{kontext:stripe}}
LINEAR_TOKEN={{kontext:linear}}

Затем запускаете kontext start --agent claude. CLI аутентифицирует вас через OIDC и заменяет заполнители на учетные данные:

• Для сервисов, поддерживающих OAuth: кратковременные токены доступа через обмен токенами по RFC 8693
• Для статических API-ключей: учетные данные напрямую внедряются в среду выполнения агента

Секреты существуют только в памяти во время сессии — никогда не записываются на диск вашего компьютера. Бэкенд хранит OAuth refresh-токены и API-ключи; CLI их никогда не видит, получая обратно только кратковременные токены доступа, ограниченные сессией.

Ключевые возможности

• Одна команда для запуска Claude Code: kontext start --agent claude
• Эфемерные учетные данные: кратковременные токены, ограниченные сессией, автоматически истекают при выходе
• Декларативные шаблоны учетных данных в файлах .env.kontext
• Телеметрия управления: события хуков Claude передаются в бэкенд с указанием пользователя, сессии и организации
• Безопасность по умолчанию: аутентификация OIDC, хранение в системном хранилище ключей, обмен токенами по RFC 8693
• Легкая среда выполнения: нативный бинарный файл Go (~5мс накладных расходов на хук за вызов инструмента), использует ConnectRPC для связи с бэкендом
• Уведомления об обновлениях при kontext start (кэшируются 24 часа, отключить с помощью KONTEXT_NO_UPDATE_CHECK=1)

Установка и использование

Установите с помощью: brew install kontext-dev/tap/kontext

Или прямая установка бинарного файла:

tmpdir="$(mktemp -d)" \
&& gh release download --repo kontext-dev/kontext-cli --pattern 'kontext_*_darwin_arm64.tar.gz' --dir "$tmpdir" \
&& archive="$(find "$tmpdir" -maxdepth 1 -name 'kontext_*_darwin_arm64.tar.gz' -print -quit)" \
&& tar -xzf "$archive" -C "$tmpdir" \
&& sudo install -m 0755 "$tmpdir/kontext" /usr/local/bin/kontext

Из любой директории проекта с установленным Claude Code: kontext start --agent claude

При первом запуске CLI обрабатывает все интерактивно — вход, подключение провайдеров, разрешение учетных данных. Очистите сохраненную OIDC-сессию с помощью kontext logout.

Аудит и управление

CLI фиксирует для каждого вызова инструмента: что агент пытался сделать, что произошло, было ли это разрешено и кто это сделал — с привязкой к пользователю, сессии и организации. Каждый вызов инструмента передается для аудита по мере работы агента.

Уже работает с Claude Code, поддержка Codex скоро. Политики на стороне сервера в разработке — инфраструктура для принятия решений разрешить/запретить каждый вызов инструмента уже подключена.