AI Agents
すべてのエージェントに。スコープ制限されたアクセス。
完全な監査トレイル。
各エージェントには、専用のトークン、専用のスコープ、専用のレート制限が割り当てられます。Vaultはすべての資格情報へのアクセスをログに記録します。あまりに多くの異なる資格情報にアクセスしようとするエージェントは、自動的にロックされます。
エージェントアクセスの仕組み
Vaultはスコープ制限されたトークンを発行します。各トークンは特定の項目へのアクセス権のみを付与します。エージェントは指定された情報のみを取得でき、指定されていない情報を探索することはできません。資格情報の一覧を返すような、エージェント向けのエンドポイントは存在しません。検索、ブラウズ、列挙は一切不可能です。
すべてのアクセスは、エージェントの識別情報、アクセスされた資格情報、タイムスタンプ、およびソースIPとともに記録されます。レート制限により、1分間に3つ、1時間に10個までのユニークな資格情報へのアクセスが強制されます。2時間以内に2度目の違反が発生した場合、ハードロックダウンがトリガーされます。エージェントは、お客様がハードウェアキーを使用してロックを解除するまで凍結されます。
# One-time setup — paste the scoped token at the prompt, or pipe it in $ echo "$CLAVITOR_TOKEN" | clavitor-cli init # The agent can now fetch credentials within its scope $ clavitor-cli get "GitHub Deploy" --field password $ clavitor-cli totp "GitHub" 847203 # Anything outside scope is refused $ clavitor-cli get "Stripe API" --field key clavitor-cli: CV-2041: Access denied.
エージェントの統合
Claude Code
# One-time setup; the skill is installed on first init $ echo "$CLAVITOR_TOKEN" | clavitor-cli init # Claude Code can now: # "get me the AWS credentials" # "what's the GitHub deploy token?" # "store this API key as 'Stripe Prod'"
インストールされたスキルはガードレールを強制します:一度に1つの資格情報のみ、一括列挙の禁止、会話の出力へのシークレットの非表示。
Codex (OpenAI)
# Codex uses the HTTPS proxy — no API key in the environment $ export HTTPS_PROXY=http://localhost:1983 $ codex
プロキシは、アウトバウンドのリクエストヘッダー内にある clavitor:// 参照を解決します。キーがCodexのメモリやログに入ることはありません。
OpenClaw
openclaw.json 内のハードコードされた API キーを、Vault 参照に置き換えます:
{
"providers": {
"openrouter": {
"apiKey": "clavitor://OpenRouter API/key"
},
"fireworks": {
"apiKey": "clavitor://Fireworks.ai/key"
}
},
"channels": {
"discord": {
"accounts": {
"main": { "token": "clavitor://Discord Bot/token" }
}
}
}
}# Start with resolved config $ clavitor-cli render openclaw.json | openclaw start --config -
Hermes
# Initialize with a scoped token (stdin keeps the secret out of argv) $ echo "$CLAVITOR_TOKEN" | clavitor-cli init # Hermes resolves credentials via the CLI skill, # or through the proxy for API calls $ export HTTPS_PROXY=http://localhost:1983 $ hermes start
Cursor / Windsurf / Aider
シェルコマンドを実行するあらゆるエージェントが対象です。プロジェクトの指示に追加してください:
# "Use clavitor-cli to retrieve secrets. Never ask the user for passwords."
CrewAI / LangChain / AutoGen
import subprocess
def get_secret(name, field="password"):
return subprocess.check_output(
["clavitor-cli", "get", name, "--field", field]
).decode().strip()
# Use inline — don't store in a variable longer than needed
client = OpenAI(api_key=get_secret("OpenRouter API", "key"))n8n / Make / Zapier
HTTP ベースの統合には HTTPS プロキシを使用してください。資格情報はリクエストヘッダーから透過的に解決されます:
$ export HTTPS_PROXY=http://localhost:1983 $ curl -H "Authorization: Bearer clavitor://Stripe API/key" \ https://api.stripe.com/v1/charges
マルチエージェント構成
異なるプロジェクトで複数のエージェントを実行していますか?エージェントごとに個別のエージェントを作成してください。各エージェントには、独自のスコープ、独自のレート制限、独自の監査トレイルが割り当てられます。
Workエージェント
GitHub, AWS, Jira, Slackの資格情報に限定
Personalエージェント
メール、ソーシャルメディア、クラウドストレージに限定
Deployエージェント
SSHキー、データベース資格情報、APIトークンに限定
すべてのアクセスはログに記録されます
監査ログには、どのエージェントが、いつ、どこから、どの資格情報にアクセスしたかが記録されます。
# TIME ACTION ENTRY ACTOR 2026-03-08 10:23:14 read github.com cli:claude-code 2026-03-08 10:23:15 fill github.com cli:claude-code 2026-03-08 11:45:02 read aws-production cli:deploy-agent 2026-03-08 14:12:33 ai_read openrouter.com cli:codex
エージェントはすでに資格情報を使用しています。それらを保護しましょう。
スコープ制限トークン。エージェントごとの監査。自動ロックダウン。Vault は隔離された場所にあります。エージェントは限定的な API を呼び出すだけで、鍵を直接保持することはありません。