Automic Vault
限制 AI 代理的本地权限
Automic Vault 的本地运行边界、密钥存储、审批门和面向 AI 代理的威胁模型。
01 · Automic Vault
威胁模型
AI 代理可能接触终端、CLI 和配置文件,因此凭据与高风险操作需要隔离。
02 · Automic Vault
本地优先
Automic Vault 在 macOS 上处理密钥,只把必要值传递给已批准的执行。
03 · Automic Vault
本地运行边界
Automic Vault 将代理可读取的文件与只提供给已批准工具的凭据分开。控制发生在 Mac 的执行路径上,而不是只依赖代理提示词。
04 · Automic Vault
Homebrew 与 CLI
许多开发工具来自 Homebrew、npm、PyPI 和云 CLI。Vault 会检测这些工具留下的凭据文件和高风险操作,并把审批放到实际执行位置。
05 · Automic Vault
下一步
先运行扫描器检查明文暴露,将支持的密钥移入受保护的本地存储,并保持 Automic Vault 运行,以便及时收到新的 hazard 通知。
06 · Automic Vault
安装后的变化
熟悉的 CLI 仍可继续使用。区别在于密钥不再作为容易读取的配置文件留在磁盘上,而是只交给真正需要它的已批准执行。
07 · Automic Vault
与中心化 vault 配合
1Password、HashiCorp Vault 和云端密钥系统仍可作为真实来源。Automic Vault 保护的是本地 Mac 工具使用这些值的那一刻。
08 · Automic Vault
相关页面
文档、下载、密钥扫描器和软件包目录展示完整流程:发现暴露、加固工具、加入审批门,并持续监控开发机器。
09 · Automic Vault
持续监控
新的软件包、过时工具和重新生成的配置文件可能在首次修复后重新带来风险。Automic Vault 会保持运行并提示新的 hazard。
10 · Automic Vault
可信线索
公开仓库、安全页面、许可证以及 Max Howell 的 Homebrew 背景都可查看。本地安全边界应该能够被验证。
11 · Automic Vault
何时使用
在让代理处理仓库之前、使用云 CLI 之前,以及允许 npm publish、gh release 或基础设施变更等高权限命令之前使用 Automic Vault。
Automic Vault