OneCLI je open-source credential vault navržený pro AI agenty. Za projektem stojí komunita vývojářů sdružená pod organizací onecli na GitHubu. Kód je dostupný pod licencí Apache-2.0 a projekt je aktivně vyvíjen — aktuální verze je v1.1.2 z března 2026.
Základní myšlenka je prostá: AI agenti potřebují přístup k desítkám různých API, ale předávat jim přímo klíče je bezpečnostní riziko. OneCLI funguje jako proxy gateway — agent dostane falešný klíč (například FAKE_KEY), který si nikdy nedrží ve skutečné podobě. Při každém HTTP volání přes gateway OneCLI nahradí zástupný klíč tím skutečným, odešle požadavek a agent nikdy nezískal přístup k reálným credentials. Správce má zároveň jedno místo, kde klíče rotuje, sleduje využití a spravuje oprávnění jednotlivých agentů.
Šifrování probíhá přes AES-256-GCM, klíče jsou dešifrovány výhradně v okamžiku požadavku. Gateway je napsaný v Rustu, dashboard v Next.js. Celé řešení běží v jednom Docker kontejneru bez externích závislostí — pro lokální nasazení stačí embedded PGlite, pro týmové nasazení je možné připojit PostgreSQL. Audit trail zaznamenává každé API volání, agenta a čas. Nastavení HTTP proxy (HTTPS_PROXY=localhost:10255) nevyžaduje žádné změny v kódu agenta.
Zdroje:
