Pokaż HN: OneCLI – Krypta dla agentów AI w Rust

Przedstawiamy OneCLI: zabezpieczanie przepływu pracy agenta AI

Pojawienie się agentów AI zapowiada nową erę automatyzacji, w której inteligentni asystenci będą mogli w naszym imieniu wykonywać złożone przepływy pracy, zarządzać danymi i wchodzić w interakcję z niezliczonymi interfejsami API. Jednak ten nowy, potężny paradygmat wprowadza krytyczną lukę w zabezpieczeniach: zarządzanie tajemnicami. Jak bezpiecznie udostępnić agentowi AI klucze API, hasła do baz danych i inne poufne dane uwierzytelniające bez wpisywania ich na stałe w skryptach lub pozostawiania w niepewnych lokalizacjach? To wyzwanie jest szczególnie dotkliwe dla programistów i firm korzystających z platform modułowych, takich jak Mewayz, gdzie elastyczność i bezpieczeństwo muszą iść w parze. Dziś z radością dzielimy się rozwiązaniem, które zbudowaliśmy we własnym zakresie: OneCLI, bezpiecznym skarbcem zaprojektowanym specjalnie dla agentów AI, napisanym w języku Rust.

Podstawowy problem: zaufanie i bezpieczeństwo w systemach autonomicznych

Gdy agent AI musi wysłać wiadomość e-mail za pośrednictwem SendGrid, wysłać zapytanie do bazy danych lub zaktualizować projekt w narzędziu takim jak Mewayz, wymaga dostępu do poufnych sekretów. Tradycyjna metoda ustawiania ich jako zmiennych środowiskowych jest krucha i niepewna, zwłaszcza gdy agenci są skalowani w różnych środowiskach. Hardkodowanie to nie początek. Potrzebowaliśmy systemu, który mógłby centralnie zarządzać sekretami, zapewniać ścisłą kontrolę dostępu i bezproblemowo integrować się z przepływami wykonywania agentów. Naszym celem było stworzenie narzędzia, które pełni rolę zaufanego strażnika, zapewniając, że agenci otrzymają tylko te dane uwierzytelniające, z których wyraźnie im zezwolono, i tylko wtedy, gdy są potrzebne.

„OneCLI to coś więcej niż brelok do kluczy; to warstwa zaufania między intencjami sztucznej inteligencji a jej działaniami, zapewniająca, że ​​bezpieczeństwo jest funkcją, a nie kwestią przemyślenia”.

Dlaczego zbudowaliśmy OneCLI w rdzy

Wybraliśmy Rusta jako podstawę OneCLI z powodów kluczowych dla aplikacji zorientowanych na bezpieczeństwo: wydajność, bezpieczeństwo pamięci i solidny ekosystem. Agenci AI działają w czasie rzeczywistym, a odzyskiwanie wszelkich tajemnic musi odbywać się błyskawicznie, aby nie stać się wąskim gardłem. Bezkosztowe abstrakcje Rusta zapewniają prędkość, której potrzebujemy. Co ważniejsze, gwarancje bezpieczeństwa pamięci Rusta w czasie kompilacji pomagają nam zapobiegać całym klasom luk w zabezpieczeniach, takich jak przepełnienie bufora, które można wykorzystać do wycieku wrażliwych danych. To nieodłączne bezpieczeństwo ma ogromne znaczenie podczas tworzenia fundamentów infrastruktury automatyki. W przypadku platformy takiej jak Mewayz, która kładzie nacisk na niezawodność, oczywistym wyborem było użycie języka zaprojektowanego z myślą o bezpieczeństwie i wydajności.

Kluczowe funkcje skarbca OneCLI

OneCLI zaprojektowano w oparciu o proste podejście oparte na filozofii Uniksa: rób jedną rzecz i rób to dobrze. Działa jako interfejs wiersza poleceń, z którego mogą korzystać agenci AI, bezpiecznie zwracając żądany sekret na standardowe wyjście. Oto, co oferuje:

Scentralizowane zarządzanie sekretami: przechowuj wszystkie klucze API, tokeny i hasła w jednym zaszyfrowanym skarbcu, dostępnym za pomocą prostego polecenia CLI.

Tokeny dostępu o ograniczonym zakresie: generuj krótkotrwałe tokeny o ograniczonym zakresie uprawnień dla poszczególnych agentów, minimalizując ryzyko wycieku danych uwierzytelniających.

Rejestrowanie audytu: każdy dostęp do sekretu jest rejestrowany, co zapewnia jasny ślad, który agent uzyskał dostęp do jakiego sekretu i kiedy, co jest kluczowe dla debugowania i audytów bezpieczeństwa.

Bezproblemowa integracja Mewayz: OneCLI można łatwo zintegrować z modułami Mewayz, umożliwiając agentom działającym w biznesowym systemie operacyjnym bezpieczne pobieranie danych uwierzytelniających dla usług wewnętrznych lub zewnętrznych bez konieczności stosowania niestandardowego kodu.

Integracja OneCLI z Twoimi agentowymi przepływami pracy

Korzystanie z OneCLI jest proste. Agent AI, niezależnie od tego, czy jest to skrypt w języku Python koordynujący przepływ pracy Mewayz, czy też dedykowana platforma agenta, po prostu wywołuje polecenie OneCLI. Na przykład agent, którego zadaniem jest pobieranie danych, może wykonać polecenie onecli get Database-Password-Prod. Interfejs CLI obsługuje uwierzytelnianie i autoryzację, a jeśli jest to dozwolone, zwraca sekret bezpośrednio do procesu agenta. Dzięki temu tajemnice nie znajdują się w kodzie źródłowym, zmiennych środowiskowych i pamięci agenta aż do chwili, gdy będą potrzebne. To modułowe podejście doskonale wpisuje się w filozofię Mewayz, al

Frequently Asked Questions

Introducing OneCLI: Securing the AI Agent Workflow

The rise of AI agents promises a new era of automation, where intelligent assistants can execute complex workflows, manage data, and interact with myriad APIs on our behalf. But this powerful new paradigm introduces a critical vulnerability: secrets management. How do you securely provide an AI agent with API keys, database passwords, and other sensitive credentials without hardcoding them into scripts or leaving them in insecure locations? This challenge is especially acute for developers and businesses building on modular platforms like Mewayz, where flexibility and security must go hand-in-hand. Today, we’re excited to share a solution we built in-house: OneCLI, a secure vault designed specifically for AI agents, written in Rust.

The Core Problem: Trust and Security in Autonomous Systems

When an AI agent needs to send an email via SendGrid, query a database, or update a project in a tool like Mewayz, it requires access to sensitive secrets. The traditional method of setting these as environment variables is brittle and insecure, especially when agents are scaled across different environments. Hardcoding is a non-starter. We needed a system that could centrally manage secrets, provide strict access control, and seamlessly integrate with agent execution flows. Our goal was to create a tool that acts as a trusted gatekeeper, ensuring that agents only receive the credentials they are explicitly permitted to use, and only at the moment they are needed.

Why We Built OneCLI in Rust

We chose Rust as the foundation for OneCLI for reasons critical to a security-focused application: performance, memory safety, and a robust ecosystem. AI agents operate in real-time, and any secret retrieval must be lightning-fast to avoid becoming a bottleneck. Rust’s zero-cost abstractions deliver the speed we need. More importantly, Rust’s compile-time memory safety guarantees help us prevent entire classes of vulnerabilities, such as buffer overflows, that could be exploited to leak sensitive data. This inherent safety is paramount when building the bedrock of your automation infrastructure. For a platform like Mewayz that emphasizes reliability, using a language engineered for safety and performance was the obvious choice.

Key Features of the OneCLI Vault

OneCLI is designed with a simple, Unix-philosophy approach: do one thing and do it well. It operates as a command-line interface that AI agents can call, returning the requested secret securely to stdout. Here’s what it offers:

Integrating OneCLI into Your Agentic Workflows

Using OneCLI is straightforward. An AI agent, whether it’s a Python script orchestrating a Mewayz workflow or a dedicated agent framework, simply makes a call to the OneCLI command. For example, an agent tasked with fetching data might execute onecli get database-password-prod. The CLI handles authentication and authorization, and if permitted, returns the secret directly to the agent’s process. This keeps secrets out of source code, environment variables, and agent memory until the very second they are required. This modular approach fits perfectly within the Mewayz philosophy, allowing you to compose secure, powerful business processes from discrete, reliable components.