Geheimnisse sicher mit KI-Agenten teilen
Von Maxim Novak
Wenn du Claude bittest, einen Server zu konfigurieren — wo landen dann die Passwörter?
Wenn du sie direkt in den Chat tippst — "Hier ist mein Datenbankpasswort: ..." — landen sie im Gesprächsverlauf. Sie sind im Kontext des Modells. Sie werden möglicherweise auf den Servern des KI-Anbieters gespeichert. Für einen API-Schlüssel, den du einmal verwendest, ist das ein größeres Risiko als das Teilen selbst.
Entwickler nutzen bereits KI-Assistenten, um Infrastruktur einzurichten, Deployments zu debuggen und Zugangsdaten zu rotieren. Was fehlt, ist eine sichere Übergabeschicht — etwas, das Geheimnisse aus dem LLM-Kontext heraushält und dem Agenten gleichzeitig ermöglicht, damit zu arbeiten.
Genau dafür gibt es den Vaulted MCP-Server.
Was es ist
Der Vaulted MCP-Server (@vaulted/mcp-server) ist ein Model Context Protocol-Server, der KI-Assistenten vier Werkzeuge für die Arbeit mit verschlüsselten Geheimnissen bereitstellt:
| Werkzeug | Was es tut |
|---|---|
create_secret | Verschlüsselt und speichert ein Geheimnis, gibt einen teilbaren Einmal-Link zurück |
view_secret | Ruft ein Geheimnis von einer Vaulted-URL ab und entschlüsselt es |
check_status | Prüft, ob ein Geheimnis existiert und wie viele Aufrufe verbleiben (ohne zu verbrauchen) |
list_secrets | Zeigt lokal verfolgte Geheimnisse mit ihrem aktuellen Status |
Es funktioniert mit Claude Desktop, Cursor, Windsurf und jedem stdio-MCP-Client. Die Installation ist ein einzelner Konfigurationsblock.
Der agentenblinde Unterschied
Das Feature, das die meisten Entwickler nicht erwarten: Du musst dem Agenten den geheimen Wert nicht direkt übergeben.
Vaulted MCP unterstützt agentenblinde Eingabequellen. Anstatt den Rohwert zu übergeben, übergibst du eine Referenz:
env:STRIPE_KEY— liest den Wert aus einer Umgebungsvariablefile:/path/to/api-key.txt— liest aus einer Dateidotenv:.env.local:DATABASE_URL— liest einen bestimmten Schlüssel aus einer.env-Datei
Der MCP-Server löst die Referenz serverseitig auf (lokal, in deinem Terminalprozess). Der aufgelöste Wert wird sofort verschlüsselt und gelangt nie in den LLM-Kontext. Der Agent schließt die Aufgabe ab, ohne die Zugangsdaten je gesehen zu haben.
Also statt:
"Teile meinen Stripe-Schlüssel: sk_live_abc123..."
sagst du:
"Teile meine STRIPE_KEY-Umgebungsvariable sicher"
Der Agent übergibt env:STRIPE_KEY an create_secret. Der Schlüssel erscheint nie im Gespräch.
Das ist die Bedeutung von "agentenblind": Der Agent übernimmt den Workflow, ohne dass das Geheimnis durch sein Kontextfenster läuft.
Zero-Knowledge-Verschlüsselung
Die zugrundeliegende Verschlüsselung ist dasselbe AES-256-GCM, das auch von der Vaulted-Web-App und der CLI verwendet wird. Der Verschlüsselungsschlüssel lebt ausschließlich im URL-Fragment — er wird nie an Vaulteds Server gesendet. Wenn ein Empfänger den Link öffnet, entschlüsselt sein Browser ihn lokal.
Der Server speichert Ciphertext, den er nicht entschlüsseln kann. Dein KI-Assistent sieht den Klartext nicht. Die Vaulted-API sieht den Klartext nicht. Nur die Person mit dem Link kann ihn lesen.
Erste Schritte
Füge Vaulted zur Konfigurationsdatei von Claude Desktop hinzu (~/Library/Application Support/Claude/claude_desktop_config.json):
{
"mcpServers": {
"vaulted": {
"command": "npx",
"args": ["-y", "@vaulted/mcp-server"]
}
}
}
Das gleiche Konfigurationsformat funktioniert in Cursor (~/.cursor/mcp.json) und Windsurf (~/.codeium/windsurf/mcp_config.json).
Starte deinen KI-Client neu und die vier Werkzeuge sind sofort verfügbar. Kein Konto erforderlich.
Konkrete Beispiele
Einen API-Schlüssel direkt teilen:
"Teile das sicher: sk-abc123"
Der Agent ruft create_secret mit dem Wert auf. Du erhältst einen verschlüsselten Vaulted-Link, den du über Slack oder E-Mail versenden kannst.
Aus einer Umgebungsvariable teilen:
"Teile meine STRIPE_KEY-Umgebungsvariable sicher"
Der Agent ruft create_secret mit env:STRIPE_KEY auf. Der eigentliche Schlüsselwert erscheint nie im Gespräch.
In die Zwischenablage abrufen:
"Ruf das Geheimnis in meine Zwischenablage ab"
Der Agent ruft view_secret mit dem Ausgabemodus clipboard auf. Der entschlüsselte Wert landet in deiner Zwischenablage, ohne im Terminal angezeigt zu werden.
Prüfen, ob ein Geheimnis abgerufen wurde:
"Wurde mein Geheimnis schon abgerufen?"
Der Agent ruft check_status auf. Du siehst, wie viele Aufrufe verbleiben, ohne einen zu verbrauchen.
Unter der Haube
Wenn du npx @vaulted/mcp-server ausführst, startet es einen lokalen Prozess, der das MCP-stdio-Transport-Protokoll spricht. Dein KI-Client verbindet sich damit wie mit jedem anderen MCP-Server.
Für agentenblinde Quellen liest der Server den Wert aus deiner lokalen Umgebung (Umgebungsvariablen, Dateien, .env-Schlüssel) vor der Verschlüsselung. Der Wert verlässt den lokalen Prozess niemals unverschlüsselt. Er wird als Ciphertext an die Vaulted-API gesendet — genauso, als hättest du die Web-App verwendet.
Geheimnisse zerstören sich selbst: Du kannst Aufruflimits setzen (1, 3, 5 oder 10 Aufrufe) und eine Ablaufzeit festlegen (1 Stunde bis 30 Tage). Sobald das Limit erreicht ist, wird der Ciphertext vom Server gelöscht.
Das Muster ist einfach: Füge einen Konfigurationsblock hinzu, und dein KI-Assistent erhält die Fähigkeit, Zugangsdaten verantwortungsvoll zu handhaben — ohne sie je sehen zu müssen.
Jetzt auf der MCP-Seite starten → · Über npm installieren · Auf GitHub ansehen