把API密钥粘贴进Claude Code的对话窗口,模型会把它记住。放进.env文件,AI工具又能用bash命令读走。这是当下AI编程工具最棘手的安全盲区——你既需要让AI调用真实API,又不想把机密交给它。
Bitwarden的开源项目Agent Access瞄准了这个痛点。它提供了一套凭证共享协议、CLI工具(aac)以及Rust+Python SDK,在密码管理器和远程进程(AI工具、CI runner或脚本)之间建立加密隧道。消费端进程只能获取特定域名或保险库条目所需的密钥,永远看不到完整保险库。
技术实现上,aac CLI使用Noise协议建立端到端加密隧道。提供方看不到消费端用凭证做了什么,消费端也看不到保险库的其余部分。双方各自保留审计日志。核心工作流围绕aac connect和aac run两个命令展开——前者建立连接,后者将密钥以环境变量形式注入子进程,确保密钥绝不进入模型的上下文窗口。
Agent Access目前处于早期预览阶段,项目README明确提示API和协议可能变更。官方同时强调:敏感凭证不应直接输入给LLM或AI工具。因此最安全的实践模式是:仅用aac run把密钥传给子进程,永远不放进模型上下文。
2026年这个方案变得关键,因为AI编程工具已从"给建议"进化到"动手干活"。Claude Code、Codex、Cursor们会读取仓库、运行测试、调用API、触碰CI/CD流程、触发部署脚本——这些动作大多需要API密钥、令牌或密码。Postman API密钥泄露事件已经证明,仅靠人工操作都难以保证凭证卫生,人机协作的组合只会放大风险。
正确的思路不是"更信任工具",而是"给工具更少的秘密"。Agent Access在协议层面实现了这个模型:凭证被限定范围、传输加密、运行时获取、进程结束后从环境中消失。API密钥管理工具覆盖更广泛的工具生态,Agent Access则专注于解决AI代理场景下的特定难题。
热门跟贴