Keychains.dev 是一个专为 AI 代理设计的凭证代理工具,旨在安全地调用任意 API 而无需暴露真实的 API 密钥或 OAuth 令牌。用户只需在请求中使用占位符(如 `{{OAUTH2_ACCESS_TOKEN}}`),Keychains 会在服务端自动注入真实凭证,确保敏感信息永远不会离开用户的控制范围。该工具通过本地生成 Ed25519 SSH 密钥对进行机器身份验证,所有凭证均加密存储于云端,并采用 AES-256-GCM 加密算法保护数据安全。每次使用新服务时,系统会返回一个授权链接供用户通过 Face ID/Passkey 完成生物识别认证,从而实现细粒度的权限管理。
Keychains 支持超过 5500 种主流服务提供商,涵盖 GitHub、Slack、Stripe、Gmail 等常用平台。它提供命令行接口(CLI)和多种编程语言的 SDK(包括 TypeScript、Python 和通用客户端 SDK),可无缝集成到现有工作流中。无论是简单的 curl 请求还是复杂的 TypeScript 项目中的 fetch 调用,均可通过替换为 `keychains curl` 或 `keychainsFetch()` 实现自动化安全访问。此外,所有代理请求都会被记录并归档至 AWS S3,保留期限可配置(最长三年),但不会记录响应体内容或实际凭证值,保障审计透明性与隐私合规性。
该项目由 Interagentic 团队开发,强调零数据销售、无广告追踪及 GDPR/CCPA 合规原则。用户可通过仪表板随时查看请求日志、导出个人数据或删除账户,完全掌控自己的数字资产。其架构基于 Vercel、Upstash Redis、MongoDB Atlas 和 AWS S3,所有基础设施均签署数据处理协议,进一步巩固了企业级安全保障。
核心功能特点
- 使用占位符安全调用任意 API,避免泄露真实凭证
- 支持 5500+ 种主流服务提供商的自动凭证注入
- 提供 CLI 命令 `keychains curl` 和多种语言 SDK(TypeScript/Python)
- 本地生成 Ed25519 密钥对用于机器身份验证,凭证永不离开用户环境
- 每次请求需用户生物识别授权,支持即时撤销权限
- 完整审计日志归档,不记录响应体或凭证明文
适用场景
Keychains 特别适用于需要频繁调用第三方 API 的 AI 代理场景,例如自动化脚本、智能客服机器人或数据分析管道。开发者可以在不配置环境变量的情况下,直接在代码中使用 `{{STRIPE_SECRET_KEY}}` 这类占位符,大幅简化部署流程并提升安全性。对于团队协作项目,每个成员都拥有独立的机器密钥,管理员可在后台精确控制谁可以访问哪些服务的凭证,有效防止越权操作。
在企业级应用中,Keychains 能够与 CI/CD 流水线结合,实现持续集成过程中的安全测试;也可用于构建多租户 SaaS 平台,隔离不同客户的服务权限。例如,一个营销自动化工具可能需要同时对接 Mailchimp、Salesforce 和 Google Analytics,传统方式需在多个地方分散存储密钥,极易造成泄露风险;而借助 Keychains,所有敏感信息集中托管,统一通过用户授权机制动态注入,既方便又安全。
此外,对于开源项目或公共仓库托管的代码库,使用 Keychains 可彻底杜绝硬编码凭证的问题——即使代码被公开,攻击者也无法获取有效凭据,因为只有持有授权链接的用户才能完成首次绑定。这使得开源贡献者可以放心提交包含 API 调用的示例代码,无需担心安全隐患。总之,任何涉及外部 API 交互且重视凭证安全的场景,都是 Keychains 的理想应用场景。