onecli：一个安全的凭证注入网关，防止 AI 代理访问原始 API 密钥

它解决了什么

OneCLI 提供了一种安全的方式，让 AI 代理在不持有原始 API 密钥的情况下访问外部 API。这消除了将凭证硬编码到代理代码或配置中的安全风险，使开发者能够集中管理机密并进行密钥轮换。

工作原理

OneCLI 充当 AI 代理与其调用的服务之间的开源网关。你将真实的 API 凭证存放在加密金库（AES-256-GCM）中，并为代理提供占位符密钥。当代理通过网关发起 HTTP 请求时，OneCLI 根据主机和路径模式匹配相应的凭证，将占位符替换为真实密钥，并将其注入到出站请求中。代理永远看不到真实的机密。

适用人群

需要安全地与多个第三方 API 交互的 AI 代理开发者。

亮点

• 透明的凭证注入：代理发起标准的 HTTP 调用，网关负责认证。
• Rust 驱动的网关：快速、内存安全的网关，用于拦截和注入凭证。
• 加密存储：机密在静止时被加密，仅在请求时解密。
• 多代理支持：为每个代理分配具有作用域权限的访问令牌。
• 金库集成：能够连接 Bitwarden 等密码管理器，实现按需注入。
• 易于部署：通过单个 curl 命令或 Docker Compose 快速启动。

摘要

一个开源网关，安全地将 API 凭证注入 AI 代理请求，确保代理永远看不到真实的密钥。

标题

onecli：一个安全的凭证注入网关，防止 AI 代理访问原始 API 密钥