Toon HN: OneCLI – Kluis voor AI-agenten in Rust

Maak kennis met OneCLI: de workflow van AI-agenten beveiligen

De opkomst van AI-agents belooft een nieuw tijdperk van automatisering, waarin intelligente assistenten namens ons complexe workflows kunnen uitvoeren, gegevens kunnen beheren en met talloze API’s kunnen communiceren. Maar dit krachtige nieuwe paradigma introduceert een cruciale kwetsbaarheid: het beheer van geheimen. Hoe voorzie je een AI-agent op een veilige manier van API-sleutels, databasewachtwoorden en andere gevoelige inloggegevens zonder deze hard te coderen in scripts of ze op onveilige locaties achter te laten? Deze uitdaging is vooral acuut voor ontwikkelaars en bedrijven die bouwen op modulaire platforms zoals Mewayz, waar flexibiliteit en veiligheid hand in hand moeten gaan. Vandaag zijn we verheugd om een ​​oplossing te delen die we intern hebben gebouwd: OneCLI, een veilige kluis die speciaal is ontworpen voor AI-agents, geschreven in Rust.

Het kernprobleem: vertrouwen en veiligheid in autonome systemen

Wanneer een AI-agent een e-mail moet verzenden via SendGrid, een database moet doorzoeken of een project moet bijwerken in een tool als Mewayz, heeft hij toegang tot gevoelige geheimen nodig. De traditionele methode om deze in te stellen als omgevingsvariabelen is broos en onzeker, vooral wanneer agenten over verschillende omgevingen worden geschaald. Hardcoding is een non-starter. We hadden een systeem nodig dat geheimen centraal kon beheren, strikte toegangscontrole kon bieden en naadloos kon integreren met de uitvoeringsstromen van agenten. Ons doel was om een ​​tool te creëren die fungeert als een vertrouwde poortwachter en ervoor zorgt dat agenten alleen de inloggegevens ontvangen die ze expliciet mogen gebruiken, en alleen op het moment dat ze nodig zijn.

"OneCLI is meer dan een sleutelhanger; het is een vertrouwenslaag tussen de intenties en acties van uw AI, waardoor beveiliging een functie is en geen bijzaak."

Waarom we OneCLI in Rust hebben gebouwd

We kozen Rust als basis voor OneCLI om redenen die cruciaal zijn voor een op beveiliging gerichte applicatie: prestaties, geheugenveiligheid en een robuust ecosysteem. AI-agenten werken in realtime en het opvragen van geheimen moet razendsnel gebeuren om te voorkomen dat dit een knelpunt wordt. De kosteloze abstracties van Rust leveren de snelheid die we nodig hebben. Belangrijker nog is dat de veiligheidsgaranties van Rust tijdens het compileren ons helpen hele soorten kwetsbaarheden te voorkomen, zoals bufferoverflows, die kunnen worden misbruikt om gevoelige gegevens te lekken. Deze inherente veiligheid is van het grootste belang bij het bouwen van de basis van uw automatiseringsinfrastructuur. Voor een platform als Mewayz dat de nadruk legt op betrouwbaarheid, was het gebruik van een taal die is ontworpen voor veiligheid en prestaties de voor de hand liggende keuze.

Belangrijkste kenmerken van de OneCLI-kluis

OneCLI is ontworpen met een eenvoudige Unix-filosofische aanpak: doe één ding en doe het goed. Het werkt als een opdrachtregelinterface die AI-agenten kunnen aanroepen en het gevraagde geheim veilig terugstuurt naar stdout. Dit is wat het biedt:

Gecentraliseerd geheimbeheer: bewaar alle API-sleutels, tokens en wachtwoorden in één gecodeerde kluis, toegankelijk via een eenvoudige CLI-opdracht.

Scoped Access Tokens: Genereer kortstondige, op machtigingen afgestemde tokens voor individuele agenten, waardoor het risico op het lekken van inloggegevens wordt geminimaliseerd.

Auditregistratie: elke geheime toegang wordt geregistreerd, waardoor een duidelijk spoor ontstaat van welke agent toegang heeft gekregen tot welk geheim en wanneer, wat cruciaal is voor foutopsporing en beveiligingsaudits.

Naadloze Mewayz-integratie: OneCLI kan eenvoudig worden geïntegreerd in Mewayz-modules, waardoor agenten die binnen het zakelijke besturingssysteem werken veilig inloggegevens voor interne of externe diensten kunnen ophalen zonder aangepaste code.

OneCLI integreren in uw Agentic-workflows

Het gebruik van OneCLI is eenvoudig. Een AI-agent, of het nu een Python-script is dat een Mewayz-workflow orkestreert of een speciaal agent-framework, roept eenvoudigweg de OneCLI-opdracht op. Een agent die is belast met het ophalen van gegevens kan bijvoorbeeld onecli get database-password-prod uitvoeren. De CLI verzorgt de authenticatie en autorisatie en stuurt, indien toegestaan, het geheim rechtstreeks terug naar het proces van de agent. Dit houdt geheimen uit de broncode, omgevingsvariabelen en het geheugen van agenten tot het moment dat ze nodig zijn. Deze modulaire aanpak past perfect binnen de Mewayz-filosofie, al

Frequently Asked Questions

Introducing OneCLI: Securing the AI Agent Workflow

The rise of AI agents promises a new era of automation, where intelligent assistants can execute complex workflows, manage data, and interact with myriad APIs on our behalf. But this powerful new paradigm introduces a critical vulnerability: secrets management. How do you securely provide an AI agent with API keys, database passwords, and other sensitive credentials without hardcoding them into scripts or leaving them in insecure locations? This challenge is especially acute for developers and businesses building on modular platforms like Mewayz, where flexibility and security must go hand-in-hand. Today, we’re excited to share a solution we built in-house: OneCLI, a secure vault designed specifically for AI agents, written in Rust.

The Core Problem: Trust and Security in Autonomous Systems

When an AI agent needs to send an email via SendGrid, query a database, or update a project in a tool like Mewayz, it requires access to sensitive secrets. The traditional method of setting these as environment variables is brittle and insecure, especially when agents are scaled across different environments. Hardcoding is a non-starter. We needed a system that could centrally manage secrets, provide strict access control, and seamlessly integrate with agent execution flows. Our goal was to create a tool that acts as a trusted gatekeeper, ensuring that agents only receive the credentials they are explicitly permitted to use, and only at the moment they are needed.

Why We Built OneCLI in Rust

We chose Rust as the foundation for OneCLI for reasons critical to a security-focused application: performance, memory safety, and a robust ecosystem. AI agents operate in real-time, and any secret retrieval must be lightning-fast to avoid becoming a bottleneck. Rust’s zero-cost abstractions deliver the speed we need. More importantly, Rust’s compile-time memory safety guarantees help us prevent entire classes of vulnerabilities, such as buffer overflows, that could be exploited to leak sensitive data. This inherent safety is paramount when building the bedrock of your automation infrastructure. For a platform like Mewayz that emphasizes reliability, using a language engineered for safety and performance was the obvious choice.

Key Features of the OneCLI Vault

OneCLI is designed with a simple, Unix-philosophy approach: do one thing and do it well. It operates as a command-line interface that AI agents can call, returning the requested secret securely to stdout. Here’s what it offers:

Integrating OneCLI into Your Agentic Workflows

Using OneCLI is straightforward. An AI agent, whether it’s a Python script orchestrating a Mewayz workflow or a dedicated agent framework, simply makes a call to the OneCLI command. For example, an agent tasked with fetching data might execute onecli get database-password-prod. The CLI handles authentication and authorization, and if permitted, returns the secret directly to the agent’s process. This keeps secrets out of source code, environment variables, and agent memory until the very second they are required. This modular approach fits perfectly within the Mewayz philosophy, allowing you to compose secure, powerful business processes from discrete, reliable components.