SikkerKey MCP Server
offiziellEin MCP-Server, der es Ihrem KI-Agenten ermöglicht, Ihren SikkerKey-Secrets-Vault zu verwalten.
Dokumentation
MCP-Server-Übersicht
Verwalten Sie Ihren SikkerKey-Tresor von Claude Code, Codex, Cursor und anderen MCP-kompatiblen KI-Clients aus.
Der SikkerKey-MCP-Server ist eine lokale Binärdatei, die es einem KI-Client ermöglicht, Ihren Tresor über strukturierte Werkzeugaufrufe zu verwalten. Er spricht das Model Context Protocol über stdio und stellt 16 Werkzeuge für alles bereit, was ein KI-Agent berühren darf: Projekte, Secret-Metadaten, Rotationspläne, Zugriffsrichtlinien, Canaries, Maschinen, KI-Agenten, Audit-Log, Alarme, Webhooks, Support und Papierkorb.
Der MCP-Server läuft lokal neben dem KI-Client. Er authentifiziert sich bei SikkerKey mit einem Ed25519-Schlüsselpaar, das an eine tresorspezifische KI-Agenten-Identität gebunden ist – dasselbe Schema signierter Anfragen, das SDK und CLI für Maschinenidentitäten verwenden.
Wann man ihn verwendet
Verwenden Sie den MCP-Server, wenn ein KI-Client (Claude Code, Codex, Cursor usw.) als Operator für Ihren Tresor agieren soll: Maschinen bereitstellen, Canaries auslegen, Richtlinien konfigurieren, aktuelle Aktivitäten prüfen, Alarme einrichten, Support-Tickets entwerfen. Es ist die Verwaltungsebene.
Verwenden Sie die SDKs oder die CLI, wenn eine Anwendung oder ein Mensch zur Laufzeit Klartext-Secret-Werte lesen muss. Der MCP-Server kann keinen Klartext lesen. Diese Abläufe sind an Maschinenidentitäten gebunden, die eine separate Identitätsklasse darstellen.
Was er kann
| Werkzeug | Zweck |
|---|---|
| manage_projects | Projekte erstellen, aktualisieren, löschen. Berechtigungen prüfen. |
| manage_secrets | Secrets erstellen / aktualisieren / rotieren / zurücksetzen. Metadaten auflisten. Dynamische Rotationspläne verwalten. |
| manage_temporary_secrets | Einmalige, selbstzerstörende Freigabelinks erstellen. |
| manage_policies | Zugriffsrichtlinien erstellen und an Secrets binden. |
| manage_canaries | Defensive Canary-Secrets auslegen, die ein Projekt bei unbefugtem Lesezugriff einfrieren. |
| manage_machines | Maschinen auflisten, genehmigen, umbenennen, widerrufen. Namenshistorie anzeigen. |
| manage_ai_agents | Andere KI-Agenten im Tresor verwalten (nur Lebenszyklus; Scope-Änderung nur über Dashboard). |
| manage_project_machines | Maschinen an Projekte anhängen, secret-bezogene Berechtigungen setzen. |
| manage_enrollment | Registrierungstoken für flüchtige Maschinen ausstellen und widerrufen. |
| manage_trash | Soft-gelöschte Secrets auflisten, wiederherstellen oder endgültig löschen. |
| manage_alerts | Konfigurieren, welche Audit-Aktionen einen Alarm auslösen. |
| manage_webhooks | Ausgehende Webhook-Zustellkanäle verwalten. |
| manage_ipallowlist | IP-Zulassungsliste für Maschinen-Authentifizierung konfigurieren. |
| read_audit | Audit-Log abfragen, CSV exportieren, Statistiken und aktuelle Aktivitäten anzeigen. |
| support | Support-Tickets öffnen und beantworten, Anhänge verwalten. |
Was er nicht kann
Die MCP-Oberfläche ist leseblind für gespeicherte Secret-Werte. Keiner dieser Punkte ist über ein Werkzeug erreichbar:
- Den Klartext eines bestehenden Secrets lesen.
- Sich als Maschinenidentität authentifizieren, um Secrets über die SDK/CLI-Oberfläche zu lesen.
- Den Scope-Set oder die Projekt-Zulassungsliste eines anderen KI-Agenten ändern (nur Dashboard, um Rechteausweitung zwischen Agenten zu verhindern).
- Neue Maschinen über den Schlüsselpaar-Download-Ablauf bereitstellen (Token-Ausstellung ist möglich; Bundle-Download ist eine höhere Vertrauensklasse und bleibt Dashboard-exklusiv).
- Neue Bootstrap-Token für KI-Agenten ausstellen (ebenfalls Dashboard-exklusiv).
- Einen Tresor zerstören, Abrechnung verwalten, Konto-Authentifizierung ändern oder Einladungen für fremde Tresore annehmen.
Schreibaktionen wie manage_secrets.create und update_value akzeptieren eine Klartexteingabe der KI, verschlüsseln diese serverseitig mit Envelope Encryption und geben den Wert niemals zurück. Die Antwort enthält nur eine ID und eine Version. Siehe Sicherheitsmodell für den vollständigen Klartext-Vertrag.
Kompatibilität
Der MCP-Server spricht Protokollversion 2025-11-25 und funktioniert mit jedem Client, der MCP über stdio implementiert. Getestete Clients:
- Claude Code (Anthropic CLI)
- Codex CLI (OpenAI)
- Cursor
- Continue
Die Binärdatei wird als einzelne, statisch gelinkte Go-Executable ohne Laufzeitabhängigkeiten ausgeliefert. Siehe Einrichtung zur Installation und Registrierung bei Ihrem Client.
Quellcode
Der MCP-Server ist Open Source. Der vollständige Go-Quellcode ist auf GitHub unter der MIT-Lizenz verfügbar.
Wie sich ein KI-Agent von einer Maschine unterscheidet
Ein SikkerKey-Tresor hat zwei Identitätsklassen, die sich mit signierten Ed25519-Anfragen authentifizieren:
- Maschinen konsumieren Secrets. Sie leben in der Maschinentabelle, werden Projekten hinzugefügt, erhalten Zugriff auf bestimmte Secrets und authentifizieren sich gegen die SDK/CLI-Oberfläche, um zur Laufzeit Klartext zu lesen.
- KI-Agenten verwalten den Tresor. Sie leben in einer separaten KI-Agenten-Tabelle, besitzen einen flachen Satz von Scopes (und eine optionale Projekt-Zulassungsliste) und authentifizieren sich gegen
/v1/ai/...-Routen, die niemals Klartext zurückgeben.
Die beiden Tabellen sind in der Datenbank physisch getrennt. Es gibt keinen Pfad über die MCP-Oberfläche, um sich als Maschine zu authentifizieren, und die Maschinen-Auth-Prüfungen sehen keine KI-Agenten. Die Kompromittierung einer KI-Agenten-Identität gibt dem Angreifer die Verwaltungsfähigkeiten des Agenten. Sie bietet ihm keinen Weg, gespeicherte Secret-Werte zu lesen.
Nächste Schritte
- Einrichtung: Binärdatei installieren, KI-Agenten bereitstellen, bei Ihrem KI-Client registrieren.
- Werkzeugreferenz: jedes Werkzeug, jede Aktion und jeder Scope.
- Sicherheitsmodell: Authentifizierung, Autorisierung, Klartext-Vertrag, Audit.