Blog

Acceso Seguro a Agentes Bitwarden: Comparte Credenciales con IA de Codificación

Ashley Innocent

Ashley Innocent

15 May 2026

Acceso Seguro a Agentes Bitwarden: Comparte Credenciales con IA de Codificación

Apidog para empresas

Despliegue local

SSO & RBAC

Conforme con SOC 2

Explorar Apidog Enterprise

Si utiliza Claude Code, Codex o Cursor con cualquier cosa que interactúe con una API real, tiene un problema: el agente necesita credenciales y su gestor de contraseñas quiere mantenerlas bloqueadas. Las soluciones habituales son malas. Pegar una clave de API en un chat hace que aterrice en una ventana de contexto del modelo para siempre. Dejar secretos en un archivo .env hará que la herramienta bash del agente los catee felizmente y los envíe a otro lugar. La mayoría de los equipos simplemente bajan sus estándares.

El nuevo proyecto de código abierto de Bitwarden, Agent Access, es el primer intento serio de solucionar esto. Es un protocolo para compartir credenciales, una CLI (aac), y un SDK de Rust + Python que construye un túnel cifrado entre su gestor de contraseñas y un proceso remoto: un agente, un ejecutor de CI, un script. El agente obtiene los secretos que necesita, con un alcance limitado a un solo dominio o elemento de la bóveda, sin ver nunca su bóveda.

Esta guía explica lo que ofrece Agent Access, cómo instalarlo, cómo usar aac connect y aac run, cómo encaja en los flujos de trabajo de Claude Code, Codex y Cursor, y cómo se sitúa junto a los patrones de higiene de credenciales cubiertos en Cómo asegurar las credenciales de API de agentes de IA.

Qué es Agent Access (un párrafo)

Agent Access es un protocolo abierto más una implementación de referencia construida por Bitwarden pero diseñada para que la adopte cualquier gestor de contraseñas. La CLI (aac) crea un túnel cifrado de extremo a extremo utilizando el protocolo Noise. Un "proveedor" escucha las solicitudes de conexión; un "consumidor" (su agente, su script, su trabajo de CI) se conecta al proveedor y solicita credenciales por dominio o por ID de elemento de la bóveda. El proveedor decide qué enviar. El consumidor nunca ve la bóveda completa. El proveedor nunca ve lo que el consumidor hace con las credenciales. Las pistas de auditoría se encuentran en ambos lados.

Actualmente se encuentra en vista previa temprana. El README del proyecto advierte que "las API y los protocolos están sujetos a cambios" y "no recomendamos introducir credenciales sensibles directamente en LLMs o agentes de IA". El patrón que Bitwarden recomienda en su lugar es el enfoque de la mitad de esta guía: la inyección de entorno a través de aac run, que introduce secretos en un proceso sin exponerlos a la ventana de contexto del agente.

Por qué esto importa en 2026

Los agentes de codificación de IA han superado los entornos de prueba. Claude Code, Codex, Cursor y el resto ahora leen su repositorio, ejecutan sus pruebas, acceden a sus API, implementan su código. Cada uno de esos pasos requiere credenciales. El incidente de claves de API expuestas de Postman mostró lo mal que escala la higiene de credenciales cuando solo los humanos son descuidados; humanos más agentes es peor.

La respuesta correcta no es "confiar más en el agente"; es "darle menos al agente". Agent Access hace esto a nivel de protocolo: credenciales con alcance, cifradas en tránsito, obtenidas en tiempo de ejecución, desaparecidas cuando el proceso finaliza. En comparación con la práctica actual (Herramientas de gestión de claves API cubre el resto del panorama), Agent Access es lo primero construido específicamente para el caso de los agentes.

Instalar

Elija su plataforma.

macOS (Apple Silicon)

curl -L https://github.com/bitwarden/agent-access/releases/latest/download/aac-macos-aarch64.tar.gz | tar xz
sudo mv aac /usr/local/bin/

macOS (Intel)

curl -L https://github.com/bitwarden/agent-access/releases/latest/download/aac-macos-x86_64.tar.gz | tar xz
sudo mv aac /usr/local/bin/

Linux (x86_64)

curl -L https://github.com/bitwarden/agent-access/releases/latest/download/aac-linux-x86_64.tar.gz | tar xz
sudo mv aac /usr/local/bin/

Windows (x86_64)

Descargue aac-windows-x86_64.zip desde la página de la última versión y extráigalo a cualquier directorio de su PATH.

Verifique la instalación con aac --help. Si la CLI de Bitwarden (bw) también está en su PATH, aac la usará como proveedor de credenciales predeterminado; de lo contrario, pase --provider example para usar el proveedor de demostración incorporado mientras experimenta.

Inicio rápido: emparejar y obtener una credencial

Dos comandos. Ejecute aac listen en la máquina que contiene su bóveda, normalmente su portátil:

aac listen

El oyente imprime un token de emparejamiento. En el lado del consumidor (la máquina remota, el ejecutor de CI, o simplemente otra shell en el mismo host mientras prueba), empareje y obtenga en una sola llamada:

aac connect --token <pairing-token> --domain github.com --output json

Obtendrá algo como:

{
  "credential": {
    "notes": null,
    "password": "alligator5",
    "totp": null,
    "uri": "https://github.com",
    "username": "example"
  },
  "domain": "github.com",
  "success": true
}

Esa estructura JSON es el contrato estable del protocolo. Su script puede analizarla como desee. Para obtener por ID de elemento de bóveda en lugar de por dominio:

aac connect --id <vault-item-id> --output json

--id y --domain son mutuamente excluyentes; elija uno. Los códigos TOTP fluyen a través de la misma carga útil cuando el elemento de la bóveda tiene uno configurado.

La característica clave: aac run para la inyección de entorno

aac connect está bien cuando su script sabe cómo manejar JSON. El patrón más amplio es aac run: obtiene una credencial y ejecuta su proceso hijo con los secretos inyectados como variables de entorno. Nunca a la salida estándar, nunca al disco, nunca visible para lo que haya generado aac.

Inyectar campos específicos:

aac run --domain example.com --env DB_PASSWORD=password --env DB_USER=username -- psql

Inyectar cada campo con un prefijo AAC_:

aac run --domain example.com --env-all -- deploy.sh

Combinar valores predeterminados con anulaciones:

aac run --domain example.com --env-all --env CUSTOM_PW=password -- deploy.sh

Los campos disponibles son username, password, totp, uri, notes, domain y credential_id.

Este es el patrón que Bitwarden recomienda activamente para el uso de agentes de IA: usted apunta Claude Code o Codex a un script que llama a aac run, y el secreto nunca aparece en la transcripción del agente. El modelo ve el comando aac run --domain api.stripe.com --env-all -- ./deploy.sh, no la contraseña. Si el agente luego pregunta "¿cuál es el valor de $STRIPE_API_KEY?", la respuesta es "no puedo verlo" porque su alcance estaba limitado al subproceso deploy.sh.

Este es el mismo principio de aislamiento cubierto en Cómo asegurar las credenciales de API de agentes de IA, concretado con una herramienta real.

SDKs de Python y Rust

Si una invocación de CLI no es suficiente (por ejemplo, si está incrustando Agent Access en su propia aplicación), existen enlaces de primera clase.

Python

from agent_access import RemoteClient

client = RemoteClient("python-remote")
client.connect(token="ABC-DEF-GHI")
cred = client.request_credential("example.com")
print(cred.username, cred.password)
client.close()

El módulo de Python está respaldado por PyO3, por lo que el trabajo pesado permanece en Rust y usted obtiene la misma implementación del protocolo Noise subyacente.

Rust

El SDK de Rust expone la misma interfaz RemoteClient como una biblioteca de primera clase. Las implementaciones de referencia se encuentran en examples/rust-remote/ en el repositorio. Úselo cuando esté escribiendo el consumidor directamente en Rust. Común en herramientas de CLI, ejecutores de compilación y cualquier servicio que desee una distribución binaria compilada.

Para los equipos de aplicaciones que ya distribuyen herramientas de API, el patrón del SDK encaja perfectamente junto a las integraciones de HashiCorp Vault o Azure Key Vault. Agent Access no es un reemplazo para esos en el nivel empresarial, pero es una mejor opción para los casos de uso de portátiles de desarrollador y ejecutores de CI.

Integración con agentes de codificación de IA

Claude Code

Conecte aac run al script que llama Claude Code. Ejemplo para una tarea de despliegue:

# deploy.sh
#!/usr/bin/env bash
aac run --domain prod.example.com --env-all -- ./run-deploy.sh

Agregue este script a su proyecto, apunte su flujo de trabajo de Claude Code a él, y el agente llamará a ./deploy.sh sin credenciales en el prompt. La integración de Claude Code GitHub Actions extiende el mismo patrón a CI: instale aac en el ejecutor, empareje con un proveedor de bóveda de Bitwarden que se ejecuta en un plano de control, y sus GitHub Actions heredarán las credenciales con alcance en el momento del trabajo.

OpenAI Codex

El mismo patrón funciona para la CLI de Codex. La capa de llamadas a herramientas de Codex muestra comandos al modelo; el script que el modelo llama accede a aac run y los secretos permanecen fuera del contexto del modelo. La reciente publicación Codex desde su teléfono cubre la superficie más amplia de Codex; este es el ángulo de las credenciales que se combina con ella.

Cursor

Para los comandos de terminal de Cursor y los flujos de trabajo de Composer, los mismos scripts envueltos en aac run funcionan sin modificación. La fortaleza de Cursor es la edición local, por lo que el oyente suele ejecutarse en la misma máquina.

OpenClaw (habilidad del ecosistema Anthropic)

Agent Access incluye una habilidad oficial de OpenClaw lista para usar (un SKILL.md reside en el repositorio). Para los equipos que utilizan habilidades de estilo OpenClaw, esta es la integración más pulida en la actualidad: la habilidad conoce la forma del protocolo, obtiene las credenciales y las entrega a cualquier herramienta descendente que la habilidad exponga. La guía de claves API de OpenClaw cubre la historia más amplia de gestión de credenciales para ese ecosistema.

Modelo de seguridad en palabras sencillas

Tres afirmaciones que vale la pena verificar:

  1. Cifrado de extremo a extremo a través de Noise. El tráfico entre el consumidor y el proveedor se cifra con el marco del protocolo Noise, la misma familia de apretones de manos que utilizan WireGuard y Signal. La capa de transporte no es el eslabón más débil.
  2. Credenciales con alcance. El consumidor solo obtiene lo que solicitó (un dominio o un ID de elemento de bóveda). No puede enumerar la bóveda.
  3. No hay secretos en el disco del consumidor por defecto. aac run pasa los secretos a través de variables de entorno a un proceso hijo; no se escribe nada en un archivo, no aparece nada en la salida estándar, no queda nada en el historial de shell.

Lo que Agent Access no protege contra:

Un patrón común: el agente llama a la API, Apidog la prueba

Aquí está el ciclo en el que la mayoría de los equipos se establecerán:

  1. El agente escribe el código. Claude Code, Codex o Cursor abren un PR que afecta a un endpoint.
  2. CI ejecuta las pruebas. Su ejecutor de pruebas llama a aac run para obtener la clave de API, ejecuta la suite de pruebas contra un despliegue de staging.
  3. Apidog verifica el contrato. Apidog ejecuta la prueba de contrato OpenAPI como un paso de CI separado, también a través de aac run, también sin que el agente vea la clave.

El resultado: el agente envía código, el contrato se mantiene, el secreto nunca sale de la bóveda. El manual más amplio sobre cómo probar cambios impulsados por IA se encuentra en Cómo probar agentes de IA que llaman a sus API.

Limitaciones y advertencias

Preguntas frecuentes

¿Agent Access es gratuito?

Sí. La CLI, los SDKs y el protocolo son de código abierto bajo la organización de Bitwarden en GitHub. Aún paga por Bitwarden si lo usa como su bóveda.

¿Funciona con otros gestores de contraseñas además de Bitwarden?

El protocolo está diseñado para ser independiente del proveedor. La implementación de referencia incluye soporte para Bitwarden y un proveedor de ejemplo; se espera que otros proveedores lancen sus propias implementaciones con el tiempo.

¿Puedo usarlo sin ningún gestor de contraseñas?

Para pruebas, sí; pase --provider example para usar el proveedor de demostración incorporado. Para producción, necesita un proveedor real (Bitwarden hoy, otros en la hoja de ruta).

¿El proceso del consumidor necesita acceso a la red?

El consumidor necesita acceso a la red para comunicarse con el oyente del proveedor. Las configuraciones solo locales funcionan si el oyente y el consumidor están en el mismo host.

¿En qué se diferencia esto de un archivo .env?

Un archivo .env se encuentra en el disco, se guarda accidentalmente en los repositorios y es legible por cualquier cosa que el agente pueda ejecutar. aac run mantiene el secreto solo en la memoria del proceso, con alcance al subproceso, y desaparece cuando este finaliza.

¿Reemplaza a HashiCorp Vault o AWS Secrets Manager?

No. Las bóvedas empresariales siguen siendo la herramienta adecuada para los secretos de servicio a servicio a escala. Agent Access cubre la brecha del portátil del desarrollador y el ejecutor de CI, donde una bóveda empresarial completa es excesiva.

¿Anthropic, OpenAI u otros proveedores de agentes integrarán esto directamente?

No anunciado. El modelo de integración actual es "envuelva sus scripts en aac run". El soporte directo de primera clase de los proveedores de agentes es el siguiente paso natural, pero aún no se ha implementado.

¿Dónde puedo reportar errores o contribuir?

El repositorio de GitHub. Los problemas, las solicitudes de extracción y las discusiones del protocolo tienen lugar allí.

Pruébelo ahora

Instale aac, ejecute aac listen en su portátil, ejecute aac connect --provider example --domain test.com --output json desde otra terminal. Confirme que el JSON se devuelve. Ese es el ciclo de extremo a extremo más pequeño. A partir de ahí, reemplace el proveedor de ejemplo con bw, envuelva un script real en aac run y deje de pegar claves de API en sus agentes de IA.

Combine Agent Access con Apidog para la parte de pruebas de API del flujo de trabajo, y tendrá una separación limpia: la bóveda guarda el secreto, Apidog prueba el contrato, el agente envía el código y ninguna credencial sale de su máquina en texto plano.

botón

Practica el diseño de API en Apidog

Descubre una forma más fácil de construir y usar APIs

Registrarse gratisDescargar