Automic Vault Automic Vault

Par le créateur de Homebrew

Durcissez votre Mac avant que l’agent s’exécute.

Votre Mac contient des clés en clair qu’un agent peut lire, divulguer ou transmettre à un malware. Automic Vault durcit la couche qui protège vos identifiants : secrets chiffrés, outils scellés et approbation avant l’exécution.

Télécharger av.dmg Lancer le scanner Voir le code

01 · Harden

Faites disparaître les secrets en clair des paquets.

Automic Vault trouve les identifiants que les CLI laissent dans les dotfiles, déplace les secrets pris en charge dans le trousseau et laisse à chaque outil un helper d’exécution utilisable par l’agent sans lire le secret.

Harden package-owned secrets
$ brew install awscli
installed: /opt/homebrew/Cellar/awscli

$ av scan
plaintext secret exposure: ~/.aws/credentials
reason agent-readable cloud keys

$ cat ~/.aws/credentials
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

$ av harden awscli
saved AWS keys in Keychain
rewrote credential_process helper
removed plaintext credentials
made install immutable

$ cat ~/.aws/credentials
[default]
credential_process = /usr/local/bin/av credential-helper aws
Package hardening feed Outils connus, contrôles visibles.

Automic Vault parcourt les règles de paquets pour les protocoles helper, homes temporaires, jetons adossés au trousseau et détection de dangers en clair.

gh

GitHub tokens saved in Keychain and injected only for gh commands

 awscli

AWS keys moved from ~/.aws/credentials to credential_process

 curl

netrc and curlrc credentials detected as hazards

 git

plaintext credential-store files flagged before agent runs

 npm

registry tokens mounted through a temporary npm config

02 · Harden

Rendez les paquets immuables après installation.

Automic Vault installe les outils Homebrew, npm ou PyPI dans des racines scellées et place un shim av sur PATH. Les agents peuvent lancer l’outil; modifier l’outil lui-même passe par une mise à jour approuvée.

$ av install codex
awaiting Touch ID for root escalation… approved
prefix: /opt/codex
shim: /usr/local/bin/codex -> /opt/codex/bin/codex

$ codex exec "patch $(which codex)"
permission denied

03 · Securing .env files

Gardez .env dans le workflow, pas dans le contexte de l’agent.

av dotenv écrit des valeurs encrypted: compatibles dotenvx pendant que la clé privée reste dans le trousseau Automic Vault. Des hooks façon direnv chargent seulement les clés approuvées dans le shell ou la commande qui les a demandées.

Encrypted .env with direnv-style loading
$ cd ~/work/billing-api

$ cat .env
APP_ENV=development
LOG_LEVEL=debug
PUBLIC_SITE_URL=https://billing.example
STRIPE_SECRET_KEY=sk_live_4eC39HqLyjWDarjtT1zdp7dc
OPENAI_API_KEY=sk-proj-BJN9zqY2Q9p7xWm8kL3n
DATABASE_URL=postgres://billing:s3cr3t@db.internal/app

$ av dotenv init
found existing .env
stored DOTENV_PRIVATE_KEY in Keychain

$ av dotenv encrypt
encrypted .env

$ cat .env
DOTENV_PUBLIC_KEY="BP9x..."
APP_ENV=development
LOG_LEVEL=debug
PUBLIC_SITE_URL=https://billing.example
STRIPE_SECRET_KEY="encrypted:BO/8An..."
OPENAI_API_KEY="encrypted:BJN9z..."
DATABASE_URL="encrypted:BI4p3..."
# ^^ dotenvx compatible

$ echo 'eval "$(av dotenv hook zsh)"' >> ~/.zshrc

----- NEW TERMINAL SESSION -----

$ cd ~/work/billing-api
av: human approval required… approved
av: +STRIPE_SECRET_KEY +OPENAI_API_KEY +DATABASE_URL

$ npm run dev
# keys exported into this shell only

04 · Detect

Détectez les nouveaux risques pendant que votre Mac change.

Automic Vault.app tourne en arrière-plan quand vous installez des outils, modifiez des projets et exposez accidentellement de nouveaux secrets. Les nouveaux dangers de paquets sont signalés dès leur apparition, et les secrets en clair pris en charge sont chiffrés immédiatement.

  • Paquets multi-sources. Installez et durcissez des outils Homebrew, npm et PyPI, avec d’autres sources à venir.
  • Installations Touch ID. Approuvez les installations et mises à jour privilégiées sans quitter le terminal.
  • Mises à jour automatiques. Gardez l’app et les règles de durcissement à jour en arrière-plan.
  • Recherche et découverte GUI. Parcourez paquets, homepages, versions, dangers et notes de sécurité.
  • Notifications. Soyez averti quand de nouvelles vulnérabilités ou des secrets exposés apparaissent.
Automic Vault app

05 · Note de terrain

La bonne limite semble déjà en retard.

Le premier signal utile n’était pas une métrique ni un billet de lancement. C’était l’impression que la sécurité locale des agents devrait déjà faire partie de la toolchain.

Hira avatar Hira@Hiraweb3

we needed this yesterday but i'll take it now

Gratuit et open source

Sécurisez les outils que vous

Télécharger Lire la doc Voir les paquets