SikkerKey MCP Server
官方一个MCP服务器,让你的AI代理管理你的SikkerKey密钥库。
文档
MCP 服务器概述
通过 Claude Code、Codex、Cursor 及其他兼容 MCP 的 AI 客户端管理您的 SikkerKey 保险库。
SikkerKey MCP 服务器是一个本地二进制文件,允许 AI 客户端通过结构化的工具调用来管理您的保险库。它通过标准输入输出使用模型上下文协议进行通信,并公开了 16 个工具,涵盖了 AI 代理应被允许接触的所有内容:项目、密钥元数据、轮换计划、访问策略、蜜罐、机器、AI 代理、审计日志、警报、Webhook、支持以及回收站。
MCP 服务器在 AI 客户端旁边本地运行。它使用绑定到每个保险库 AI 代理身份的 Ed25519 密钥对向 SikkerKey 进行身份验证,这与 SDK 和 CLI 用于机器身份的签名请求方案相同。
何时使用
当您希望 AI 客户端(Claude Code、Codex、Cursor 等)作为您保险库的操作员时,请使用 MCP 服务器:配置机器、植入蜜罐、配置策略、审计近期活动、设置警报、起草支持工单。这是管理平面。
当应用程序或人员需要在运行时读取明文密钥值时,请使用 SDK 或 CLI。MCP 服务器无法读取明文。这些流程绑定到机器身份,这是一个独立的身份类别。
它能做什么
| 工具 | 用途 |
|---|---|
| manage_projects | 创建、更新、删除项目。检查权限。 |
| manage_secrets | 创建/更新/轮换/回滚密钥。列出元数据。管理动态轮换计划。 |
| manage_temporary_secrets | 创建一次性自毁分享链接。 |
| manage_policies | 创建访问策略并将其绑定到密钥。 |
| manage_canaries | 植入防御性蜜罐密钥,在未经授权读取时冻结项目。 |
| manage_machines | 列出、批准、重命名、撤销机器。查看名称历史记录。 |
| manage_ai_agents | 管理保险库上的其他 AI 代理(仅限生命周期;作用域集变更仅限仪表板操作)。 |
| manage_project_machines | 将机器附加到项目,设置每个密钥的授权。 |
| manage_enrollment | 为临时机器发放和撤销注册令牌。 |
| manage_trash | 列出、恢复或清除软删除的密钥。 |
| manage_alerts | 配置哪些审计操作会触发警报派发。 |
| manage_webhooks | 管理外发 Webhook 投递渠道。 |
| manage_ipallowlist | 配置机器身份验证 IP 允许列表。 |
| read_audit | 查询审计日志,导出 CSV,查看统计信息和近期活动。 |
| support | 开启和回复支持工单,管理附件。 |
它不能做什么
MCP 接口对存储的密钥值是读取盲的。以下任何操作都无法通过任何工具实现:
- 读取现有密钥的明文。
- 作为机器身份进行身份验证,以通过 SDK/CLI 接口读取密钥。
- 修改另一个 AI 代理的作用域集或项目允许列表(仅限仪表板操作,以防止代理之间的权限提升)。
- 通过密钥对捆绑包下载流程配置新机器(令牌发放已公开;捆绑包下载属于更高信任级别,仍仅限仪表板操作)。
- 发放新的 AI 代理引导令牌(同样仅限仪表板操作)。
- 销毁保险库、管理计费、更改账户身份验证或代表他人接受保险库邀请。
像 manage_secrets.create 和 update_value 这样的写入操作接受来自 AI 的明文输入,在服务器端使用信封加密对其进行加密,并且永远不会将值往返传回。响应仅携带一个 ID 和一个版本。有关完整的明文契约,请参阅安全模型。
兼容性
MCP 服务器使用协议版本 2025-11-25,并可与任何通过标准输入输出实现 MCP 的客户端配合使用。已测试的客户端:
- Claude Code (Anthropic CLI)
- Codex CLI (OpenAI)
- Cursor
- Continue
该二进制文件以单个静态链接的 Go 可执行文件形式发布,无运行时依赖项。请参阅设置以安装它并在您的客户端中注册。
源代码
MCP 服务器是开源的。完整的 Go 源代码在 GitHub 上,依据 MIT 许可证发布。
AI 代理与机器的区别
SikkerKey 保险库有两个使用 Ed25519 签名请求进行身份验证的身份类别:
- 机器 消费密钥。它们存在于机器表中,被添加到项目中,被授予对特定密钥的访问权限,并针对 SDK/CLI 接口进行身份验证以在运行时读取明文。
- AI 代理 管理保险库。它们存在于单独的 AI 代理表中,拥有一组扁平的作用域(以及一个可选的项目允许列表),并针对
/v1/ai/...路由进行身份验证,这些路由从不返回明文。
这两个表在数据库中是物理上不同的。通过 MCP 接口没有作为机器进行身份验证的路径,并且机器身份验证查找不会看到 AI 代理。泄露 AI 代理的身份会使攻击者获得该代理的管理能力。但这不会给他们任何读取存储密钥值的路径。
后续步骤
- 设置:安装二进制文件,配置 AI 代理,在您的 AI 客户端中注册。
- 工具参考:每个工具、操作和作用域。
- 安全模型:身份验证、授权、明文契约、审计。