SikkerKey MCP Server
आधिकारिकएक MCP सर्वर जो आपके AI एजेंट को आपके SikkerKey सीक्रेट्स वॉल्ट को प्रबंधित करने की अनुमति देता है।
दस्तावेज़
MCP सर्वर अवलोकन
Claude Code, Codex, Cursor, और अन्य MCP-संगत AI क्लाइंट से अपने SikkerKey वॉल्ट का प्रबंधन करें।
SikkerKey MCP सर्वर एक स्थानीय बाइनरी है जो AI क्लाइंट को संरचित टूल कॉल के माध्यम से आपके वॉल्ट का प्रबंधन करने देता है। यह stdio पर Model Context Protocol बोलता है और उन सभी चीज़ों के लिए 16 टूल प्रस्तुत करता है जिन्हें एक AI एजेंट को छूने की अनुमति होनी चाहिए: प्रोजेक्ट, सीक्रेट मेटाडेटा, रोटेशन शेड्यूल, एक्सेस पॉलिसी, कैनरी, मशीनें, AI एजेंट, ऑडिट लॉग, अलर्ट, वेबहुक, सपोर्ट, और ट्रैश।
MCP सर्वर AI क्लाइंट के पास स्थानीय रूप से चलता है। यह प्रति-वॉल्ट AI एजेंट पहचान से बंधे Ed25519 कीपेयर का उपयोग करके SikkerKey में प्रमाणित होता है, वही हस्ताक्षरित-अनुरोध योजना जिसका उपयोग SDK और CLI मशीन पहचान के लिए करते हैं।
इसका उपयोग कब करें
MCP सर्वर का उपयोग तब करें जब आप चाहते हैं कि एक AI क्लाइंट (Claude Code, Codex, Cursor, आदि) आपके वॉल्ट पर एक ऑपरेटर के रूप में कार्य करे: मशीनों का प्रावधान करना, कैनरी लगाना, पॉलिसी कॉन्फ़िगर करना, हाल की गतिविधि का ऑडिट करना, अलर्ट सेट करना, सपोर्ट टिकट का मसौदा तैयार करना। यह प्रबंधन सतह है।
SDK या CLI का उपयोग तब करें जब किसी एप्लिकेशन या मानव को रनटाइम पर प्लेनटेक्स्ट सीक्रेट वैल्यू पढ़ने की आवश्यकता हो। MCP सर्वर प्लेनटेक्स्ट नहीं पढ़ सकता। वे प्रवाह मशीन पहचान से बंधे होते हैं, जो एक अलग पहचान वर्ग है।
यह क्या कर सकता है
| टूल | उद्देश्य |
|---|---|
| manage_projects | प्रोजेक्ट बनाएं, अपडेट करें, हटाएं। अनुमतियों का निरीक्षण करें। |
| manage_secrets | सीक्रेट बनाएं / अपडेट करें / रोटेट करें / रोलबैक करें। मेटाडेटा सूचीबद्ध करें। डायनेमिक-रोटेशन शेड्यूल प्रबंधित करें। |
| manage_temporary_secrets | वन-शॉट स्वयं-नष्ट होने वाले शेयर लिंक बनाएं। |
| manage_policies | एक्सेस पॉलिसी बनाएं और उन्हें सीक्रेट से बांधें। |
| manage_canaries | रक्षात्मक कैनरी सीक्रेट लगाएं जो अनधिकृत पठन पर किसी प्रोजेक्ट को फ्रीज कर देते हैं। |
| manage_machines | मशीनों को सूचीबद्ध करें, स्वीकृत करें, नाम बदलें, निरस्त करें। नाम इतिहास देखें। |
| manage_ai_agents | वॉल्ट पर अन्य AI एजेंट प्रबंधित करें (केवल जीवनचक्र; स्कोप-सेट उत्परिवर्तन केवल डैशबोर्ड है)। |
| manage_project_machines | मशीनों को प्रोजेक्ट से जोड़ें, प्रति-सीक्रेट अनुदान सेट करें। |
| manage_enrollment | अल्पकालिक मशीनों के लिए नामांकन टोकन जारी करें और निरस्त करें। |
| manage_trash | सॉफ्ट-डिलीट किए गए सीक्रेट को सूचीबद्ध करें, पुनर्स्थापित करें, या शुद्ध करें। |
| manage_alerts | कॉन्फ़िगर करें कि कौन सी ऑडिट कार्रवाइयां अलर्ट प्रेषण को ट्रिगर करती हैं। |
| manage_webhooks | आउटबाउंड वेबहुक डिलीवरी चैनल प्रबंधित करें। |
| manage_ipallowlist | मशीन-प्रमाणीकरण IP अनुमति सूची कॉन्फ़िगर करें। |
| read_audit | ऑडिट लॉग क्वेरी करें, CSV निर्यात करें, आंकड़े और हाल की गतिविधि देखें। |
| support | सपोर्ट टिकट खोलें और उत्तर दें, अटैचमेंट प्रबंधित करें। |
यह क्या नहीं कर सकता
MCP सतह संग्रहीत सीक्रेट वैल्यू पर पठन-अंध है। इनमें से कोई भी किसी टूल के माध्यम से पहुंच योग्य नहीं है:
- किसी मौजूदा सीक्रेट का प्लेनटेक्स्ट पढ़ें।
- SDK/CLI सतह के माध्यम से सीक्रेट पढ़ने के लिए मशीन पहचान के रूप में प्रमाणित हों।
- किसी अन्य AI एजेंट के स्कोप सेट या प्रोजेक्ट अनुमति सूची को संशोधित करें (एजेंटों के बीच विशेषाधिकार वृद्धि को रोकने के लिए केवल डैशबोर्ड)।
- कीपेयर-बंडल डाउनलोड प्रवाह के माध्यम से नई मशीनों का प्रावधान करें (टोकन जारी करना उजागर है; बंडल डाउनलोड एक उच्च विश्वास वर्ग है और केवल डैशबोर्ड ही रहता है)।
- नए AI-एजेंट बूटस्ट्रैप टोकन जारी करें (यह भी केवल डैशबोर्ड)।
- वॉल्ट नष्ट करें, बिलिंग प्रबंधित करें, खाता प्रमाणीकरण बदलें, या किसी और के वॉल्ट पर आमंत्रण स्वीकार करें।
manage_secrets.create और update_value जैसी लेखन क्रियाएं AI से एक प्लेनटेक्स्ट इनपुट स्वीकार करती हैं, इसे लिफाफा एन्क्रिप्शन के साथ सर्वर-साइड एन्क्रिप्ट करती हैं, और कभी भी वैल्यू को वापस राउंड-ट्रिप नहीं करती हैं। प्रतिक्रिया में केवल एक आईडी और एक संस्करण होता है। पूर्ण प्लेनटेक्स्ट अनुबंध के लिए सुरक्षा मॉडल देखें।
संगतता
MCP सर्वर प्रोटोकॉल संस्करण 2025-11-25 बोलता है और किसी भी क्लाइंट के साथ काम करता है जो stdio पर MCP लागू करता है। परीक्षण किए गए क्लाइंट:
- Claude Code (Anthropic CLI)
- Codex CLI (OpenAI)
- Cursor
- Continue
बाइनरी एकल स्टैटिकली-लिंक्ड Go निष्पादन योग्य के रूप में शिप होती है, कोई रनटाइम निर्भरता नहीं। इसे स्थापित करने और अपने क्लाइंट के साथ पंजीकृत करने के लिए सेटअप देखें।
स्रोत
MCP सर्वर ओपन सोर्स है। पूर्ण Go स्रोत GitHub पर है, MIT लाइसेंस के तहत जारी किया गया है।
एक AI एजेंट एक मशीन से कैसे भिन्न है
एक SikkerKey वॉल्ट में दो पहचान वर्ग होते हैं जो Ed25519 हस्ताक्षरित अनुरोधों के साथ प्रमाणित होते हैं:
- मशीनें सीक्रेट का उपभोग करती हैं। वे मशीन तालिका में रहती हैं, प्रोजेक्ट में जोड़ी जाती हैं, विशिष्ट सीक्रेट तक पहुंच प्रदान की जाती हैं, और रनटाइम पर प्लेनटेक्स्ट पढ़ने के लिए SDK / CLI सतह के विरुद्ध प्रमाणित होती हैं।
- AI एजेंट वॉल्ट का प्रबंधन करते हैं। वे एक अलग AI-एजेंट तालिका में रहते हैं, स्कोप का एक सपाट सेट (और एक वैकल्पिक प्रोजेक्ट अनुमति सूची) रखते हैं, और
/v1/ai/...मार्गों के विरुद्ध प्रमाणित होते हैं जो कभी प्लेनटेक्स्ट नहीं लौटाते हैं।
दोनों तालिकाएं डेटाबेस में भौतिक रूप से भिन्न हैं। MCP सतह के माध्यम से मशीन के रूप में प्रमाणित होने का कोई मार्ग नहीं है, और मशीन-प्रमाणीकरण लुकअप AI एजेंटों को नहीं देखते हैं। किसी AI एजेंट की पहचान से समझौता करने पर हमलावर को एजेंट की प्रबंधन क्षमताएं मिलती हैं। इससे उन्हें संग्रहीत सीक्रेट वैल्यू पढ़ने का कोई मार्ग नहीं मिलता है।
अगले कदम
- सेटअप: बाइनरी स्थापित करें, एक AI एजेंट का प्रावधान करें, अपने AI क्लाइंट के साथ पंजीकरण करें।
- टूल संदर्भ: प्रत्येक टूल, क्रिया, और स्कोप।
- सुरक्षा मॉडल: प्रमाणीकरण, प्राधिकरण, प्लेनटेक्स्ट अनुबंध, ऑडिट।