用Claude Code、Codex或Cursor对接真实API时,一个尴尬问题马上浮现:AI代理需要登录凭证,但你的密码管理器偏偏设计得密不透风。把API key贴进聊天窗口,它就进了模型上下文;写进.env文件,代理的bash工具照样能cat出来再发走。更稳妥的做法是按需、在运行时授予密钥,且不让它们进入大语言模型的视野。
Bitwarden新开源项目Agent Access正是瞄准这一痛点。它包含一套凭证共享协议、aac命令行工具,以及Rust和Python SDK,用于在密码管理器与远端进程——AI代理、CI运行器或脚本——之间建立加密隧道。
核心思路是:代理只拿到当前任务所需的凭证,按域名或保险库条目ID精准授权。它看不见整个保险库,不用读.env,你也无需往提示词里粘贴密钥。
Agent Access采用Noise协议构建端到端加密隧道,架构分两端:Provider端监听请求并决定返回哪些凭证;Consumer端则是需要凭证来执行任务的代理、脚本或CI作业。Consumer可按域名(如github.com)或保险库条目ID请求凭证,但无法枚举全部保险库内容。Provider也看不到Consumer拿到凭证后做了什么。两端各自保留审计日志。
目前Agent Access仍处于早期预览阶段,项目README明确警告API和协议可能变动。Bitwarden也强调,不应直接向大语言模型或AI代理输入敏感凭证。推荐的使用模式是:通过aac run在运行时获取密钥,以环境变量形式注入子进程,确保密钥不出现在代理的提示词或日志中。
AI编程代理早已不限于改文件。Claude Code、Codex、Cursor等工具现已能读取代码仓库、运行测试、调用API、创建拉取请求、执行部署脚本、与CI系统交互——这些操作往往都需要凭证。若密钥散落在.env、shell历史、日志或模型上下文中,风险将急剧攀升。Postman近期发生的API密钥泄露事件表明,即便纯人工操作,凭证管理已是难题;引入自动化代理后,防护策略必须更为严格。
Agent Access在协议层落实了"少给代理敏感数据"的原则:凭证范围受限、传输全程加密、密钥按需注入。对于需要让AI代理安全接触生产环境的开发者,这套开源方案提供了一个值得关注的起点。
热门跟贴