Показати HN: OneCLI – сховище для агентів ШІ в Rust

Представляємо OneCLI: захист робочого процесу AI Agent

Розвиток агентів ШІ обіцяє нову еру автоматизації, коли інтелектуальні помічники можуть виконувати складні робочі процеси, керувати даними та взаємодіяти з безліччю API від нашого імені. Але ця потужна нова парадигма представляє критичну вразливість: управління секретами. Як безпечно надати агенту штучного інтелекту ключі API, паролі до бази даних та інші конфіденційні облікові дані, не вписуючи їх у сценарії та не залишаючи в незахищених місцях? Ця проблема особливо гостра для розробників і компаній, які створюють модульні платформи, такі як Mewayz, де гнучкість і безпека повинні йти рука об руку. Сьогодні ми раді поділитися рішенням, створеним власними силами: OneCLI, безпечним сховищем, створеним спеціально для агентів ШІ, написаним на Rust.

Основна проблема: довіра та безпека в автономних системах

Коли агенту ШІ потрібно надіслати електронний лист через SendGrid, запитати базу даних або оновити проект у такому інструменті, як Mewayz, йому потрібен доступ до конфіденційних секретів. Традиційний метод встановлення їх як змінних середовища крихкий і небезпечний, особливо коли агенти масштабуються в різних середовищах. Жорстке кодування не є початківцем. Нам потрібна була система, яка могла б централізовано керувати секретами, забезпечувати строгий контроль доступу та бездоганно інтегруватися з потоками виконання агентів. Наша мета полягала в тому, щоб створити інструмент, який діє як довірений гейткіпер, гарантуючи, що агенти отримують лише ті облікові дані, які їм явно дозволено використовувати, і лише в той момент, коли вони потрібні.

«OneCLI — це більше, ніж зв’язка ключів; це рівень довіри між намірами вашого штучного інтелекту та його діями, забезпечення безпеки — це функція, а не запальна думка».

Чому ми створили OneCLI в Rust

Ми вибрали Rust як основу для OneCLI з міркувань, важливих для програми, орієнтованої на безпеку: продуктивність, безпека пам’яті та надійна екосистема. Агенти штучного інтелекту працюють у режимі реального часу, і будь-який секретний пошук має бути блискавичним, щоб не стати вузьким місцем. Безкоштовні абстракції Rust забезпечують потрібну нам швидкість. Що ще важливіше, гарантії безпеки пам’яті Rust під час компіляції допомагають нам запобігти цілим класам уразливостей, як-от переповнення буфера, які можуть бути використані для витоку конфіденційних даних. Ця внутрішня безпека має першочергове значення при створенні основи вашої інфраструктури автоматизації. Для такої платформи, як Mewayz, яка наголошує на надійності, використання мови, розробленої для безпеки та продуктивності, було очевидним вибором.

Ключові характеристики OneCLI Vault

OneCLI розроблено на основі простого підходу Unix-філософії: робіть одну справу і робіть це добре. Він працює як інтерфейс командного рядка, який можуть викликати агенти штучного інтелекту, безпечно повертаючи запитуваний секрет у стандартний вихід. Ось що він пропонує:

Централізоване секретне керування: зберігайте всі ключі API, маркери та паролі в одному зашифрованому сховищі, доступному за допомогою простої команди CLI.

Маркери обмеженого доступу: генеруйте короткочасні маркери дозволу для окремих агентів, мінімізуючи ризик витоку облікових даних.

Журнал аудиту: кожен секретний доступ реєструється, забезпечуючи чіткий слід того, який агент отримав доступ до якого секрету та коли, що має вирішальне значення для налагодження та перевірок безпеки.

Безперебійна інтеграція Mewayz: OneCLI можна легко інтегрувати в модулі Mewayz, дозволяючи агентам, що працюють у бізнес-ОС, безпечно отримувати облікові дані для внутрішніх або зовнішніх служб без будь-якого спеціального коду.

Інтеграція OneCLI у робочі процеси вашого агента

Користуватися OneCLI просто. Агент штучного інтелекту, незалежно від того, чи це сценарій Python, який керує робочим процесом Mewayz, чи спеціальна структура агента, просто здійснює виклик команди OneCLI. Наприклад, агент, якому доручено отримати дані, може виконати onecli get database-password-prod. Інтерфейс командного рядка виконує автентифікацію та авторизацію, і якщо це дозволено, повертає секрет безпосередньо в процес агента. Це зберігає секрети від вихідного коду, змінних середовища та пам’яті агента до тієї секунди, коли вони знадобляться. Цей модульний підхід ідеально вписується в філософію Mewayz, ін

Frequently Asked Questions

Introducing OneCLI: Securing the AI Agent Workflow

The rise of AI agents promises a new era of automation, where intelligent assistants can execute complex workflows, manage data, and interact with myriad APIs on our behalf. But this powerful new paradigm introduces a critical vulnerability: secrets management. How do you securely provide an AI agent with API keys, database passwords, and other sensitive credentials without hardcoding them into scripts or leaving them in insecure locations? This challenge is especially acute for developers and businesses building on modular platforms like Mewayz, where flexibility and security must go hand-in-hand. Today, we’re excited to share a solution we built in-house: OneCLI, a secure vault designed specifically for AI agents, written in Rust.

The Core Problem: Trust and Security in Autonomous Systems

When an AI agent needs to send an email via SendGrid, query a database, or update a project in a tool like Mewayz, it requires access to sensitive secrets. The traditional method of setting these as environment variables is brittle and insecure, especially when agents are scaled across different environments. Hardcoding is a non-starter. We needed a system that could centrally manage secrets, provide strict access control, and seamlessly integrate with agent execution flows. Our goal was to create a tool that acts as a trusted gatekeeper, ensuring that agents only receive the credentials they are explicitly permitted to use, and only at the moment they are needed.

Why We Built OneCLI in Rust

We chose Rust as the foundation for OneCLI for reasons critical to a security-focused application: performance, memory safety, and a robust ecosystem. AI agents operate in real-time, and any secret retrieval must be lightning-fast to avoid becoming a bottleneck. Rust’s zero-cost abstractions deliver the speed we need. More importantly, Rust’s compile-time memory safety guarantees help us prevent entire classes of vulnerabilities, such as buffer overflows, that could be exploited to leak sensitive data. This inherent safety is paramount when building the bedrock of your automation infrastructure. For a platform like Mewayz that emphasizes reliability, using a language engineered for safety and performance was the obvious choice.

Key Features of the OneCLI Vault

OneCLI is designed with a simple, Unix-philosophy approach: do one thing and do it well. It operates as a command-line interface that AI agents can call, returning the requested secret securely to stdout. Here’s what it offers:

Integrating OneCLI into Your Agentic Workflows

Using OneCLI is straightforward. An AI agent, whether it’s a Python script orchestrating a Mewayz workflow or a dedicated agent framework, simply makes a call to the OneCLI command. For example, an agent tasked with fetching data might execute onecli get database-password-prod. The CLI handles authentication and authorization, and if permitted, returns the secret directly to the agent’s process. This keeps secrets out of source code, environment variables, and agent memory until the very second they are required. This modular approach fits perfectly within the Mewayz philosophy, allowing you to compose secure, powerful business processes from discrete, reliable components.