Cómo compartir secretos de forma segura con agentes de IA
Por Maxim Novak
Cuando le pides a Claude que te ayude a configurar un servidor, ¿a dónde van a parar las contraseñas?
Si las escribes directamente en el chat — "aquí está la contraseña de mi base de datos: ..." — quedan en el historial de la conversación. Quedan en el contexto del modelo. Puede que se almacenen en los servidores del proveedor de IA. Para una clave de API que vas a usar una sola vez, ese es un radio de exposición mayor que el del propio acto de compartir.
Los desarrolladores ya usan asistentes de IA para configurar infraestructura, depurar despliegues y rotar credenciales. Lo que falta es una capa de transferencia segura — algo que mantenga los secretos fuera del contexto del LLM y que aun así permita al agente actuar sobre ellos.
Para eso sirve el servidor MCP de Vaulted.
Qué es
El servidor MCP de Vaulted (@vaulted/mcp-server) es un servidor de Model Context Protocol que da a los asistentes de IA cuatro herramientas para trabajar con secretos cifrados:
| Herramienta | Qué hace |
|---|---|
create_secret | Cifra y almacena un secreto, devuelve un enlace de lectura única para compartir |
view_secret | Recupera y descifra un secreto a partir de una URL de Vaulted |
check_status | Comprueba si un secreto existe y cuántas vistas quedan (sin consumir una) |
list_secrets | Muestra los secretos rastreados localmente con su estado actual |
Funciona con Claude Desktop, Cursor, Windsurf y cualquier cliente MCP por stdio. La instalación es un único bloque de configuración.
El diferenciador de la entrada ciega al agente
La función que la mayoría de los desarrolladores no esperan: no tienes que darle al agente el valor del secreto directamente.
Vaulted MCP admite fuentes de entrada ciegas al agente. En lugar de pasar el valor en bruto, pasas una referencia:
env:STRIPE_KEY— lee el valor de una variable de entornofile:/path/to/api-key.txt— lee desde un archivodotenv:.env.local:DATABASE_URL— lee una clave específica de un archivo.env
El servidor MCP resuelve la referencia del lado del servidor (localmente, en el proceso de tu terminal). El valor resuelto se cifra de inmediato y nunca entra en el contexto del LLM. El agente completa la tarea sin llegar a ver nunca la credencial.
Así que, en lugar de:
"Comparte mi clave de Stripe: sk_live_abc123..."
dices:
"Comparte mi variable de entorno STRIPE_KEY de forma segura"
El agente pasa env:STRIPE_KEY a create_secret. La clave nunca aparece en la conversación.
Esto es lo que significa "ciego al agente": el agente gestiona el flujo de trabajo sin que el secreto pase por su ventana de contexto.
Cifrado de conocimiento cero
El cifrado subyacente es el mismo AES-256-GCM que usan la aplicación web y la CLI de Vaulted. La clave de cifrado vive únicamente en el fragmento de la URL — nunca se envía a los servidores de Vaulted. Cuando un destinatario abre el enlace, su navegador lo descifra localmente.
El servidor almacena texto cifrado que no puede descifrar. Tu asistente de IA no ve el texto plano. La API de Vaulted no ve el texto plano. Solo la persona con el enlace puede leerlo.
Primeros pasos
Añade Vaulted al archivo de configuración de Claude Desktop (~/Library/Application Support/Claude/claude_desktop_config.json):
{
"mcpServers": {
"vaulted": {
"command": "npx",
"args": ["-y", "@vaulted/mcp-server"]
}
}
}
El mismo formato de configuración funciona en Cursor (~/.cursor/mcp.json) y Windsurf (~/.codeium/windsurf/mcp_config.json).
Reinicia tu cliente de IA y las cuatro herramientas estarán disponibles de inmediato. No se requiere cuenta.
Ejemplos reales
Compartir una clave de API directamente:
"Comparte esto de forma segura: sk-abc123"
El agente llama a create_secret con el valor. Recibes de vuelta un enlace de Vaulted para enviar por Slack o correo electrónico.
Compartir desde una variable de entorno:
"Comparte mi variable de entorno STRIPE_KEY de forma segura"
El agente llama a create_secret con env:STRIPE_KEY. El valor real de la clave nunca aparece en la conversación.
Recuperar al portapapeles:
"Recupera ese secreto a mi portapapeles"
El agente llama a view_secret con el modo de salida clipboard. El valor descifrado llega a tu portapapeles sin imprimirse en la terminal.
Comprobar si un secreto ha sido visto:
"¿Ya se ha visto mi secreto?"
El agente llama a check_status. Ves cuántas vistas quedan sin consumir ninguna.
Por dentro
Cuando ejecutas npx @vaulted/mcp-server, se inicia un proceso local que habla el transporte stdio de MCP. Tu cliente de IA se conecta a él como a cualquier otro servidor MCP.
Para las fuentes ciegas al agente, el servidor lee el valor de tu entorno local (variables de entorno, archivos, claves de .env) antes del cifrado. El valor nunca sale del proceso local sin cifrar. Se envía a la API de Vaulted como texto cifrado — igual que si hubieras usado la aplicación web.
Los secretos se autodestruyen: puedes establecer límites de vistas (1, 3, 5 o 10 vistas) y caducidad (de 1 hora a 30 días). Una vez alcanzado el límite, el texto cifrado se elimina del servidor.
El patrón aquí es sencillo: añade un bloque de configuración y tu asistente de IA gana la capacidad de manejar credenciales de forma responsable — sin necesidad de verlas nunca.
Empieza en la página de MCP → · Instala desde npm · Míralo en GitHub