onecli：一個安全的憑證注入閘道，防止 AI 代理存取原始 API 金鑰

它解決了什麼問題

OneCLI 提供了一種安全的方式，讓 AI 代理在不需要自行持有原始 API 金鑰的情況下存取外部 API。這消除了將憑證寫入代理程式碼或設定檔中的安全風險，讓開發者能夠集中管理祕密並執行金鑰輪替。

它如何運作

OneCLI 充當 AI 代理與其呼叫的服務之間的開源閘道。您將真實的 API 憑證儲存在加密保險庫（AES-256-GCM）中，並為代理提供佔位符金鑰。當代理透過閘道發出 HTTP 請求時，OneCLI 會根據主機與路徑模式匹配正確的憑證，將佔位符替換為真實金鑰，並注入到外發請求中。代理永遠不會看到真實的祕密。

目標對象

需要安全地與多個第三方 API 互動的 AI 代理開發者。

重點特色

• 透明的憑證注入：代理只需發出標準 HTTP 呼叫，閘道負責認證。
• Rust 驅動的閘道：快速且記憶體安全的憑證攔截與注入。
• 加密儲存：祕密在靜止時已加密，僅在請求時解密。
• 多代理支援：每個代理都有自己的存取令牌與範圍權限。
• 保險庫整合：可連接 Bitwarden 等密碼管理器，實現即時注入。
• 簡易部署：只需一條 curl 指令或 Docker Compose 即可快速啟動。