AI Hub CLI, Sicherheit & Architektur
Diese Seite erklärt, wie die CLYE CLI sicherheitstechnisch aufgebaut ist, welche Daten wohin fließen und was du für einen sicheren Betrieb beachten solltest.
Grundprinzip: Daten bleiben lokal
Das wichtigste Sicherheitsmerkmal der CLI ist ihr Architekturprinzip: Datenbankzugriffe, Dateisystem-Inhalte und Code-Ausführung bleiben auf deiner Maschine oder in deinem Netzwerk. CLYE AI sieht nur die Tool-Ergebnisse, die du explizit freigibst.
So funktioniert das:
- Die CLI startet lokal einen MCP-Server (z. B. einen Datenbank-Connector oder Filesystem-Connector).
- CLYE AI verbindet sich über die CLI mit diesem MCP-Server: ausgehend von deiner Infrastruktur.
- CLYE AI ruft Tools auf (z. B.
execute_sql): die Abfrage läuft lokal, nur das Ergebnis geht zurück an CLYE AI.
Deine Datenbankpasswörter, Dateipfade und Rohdaten verlassen dein Netzwerk nicht direkt. Nur die Antwort der jeweiligen Tool-Aufrufe fließt an CLYE AI zurück.
Authentifizierung gegenüber CLYE AI
Die CLI authentifiziert sich mit:
AI_HUB_URL: die Basis-URL deiner CLYE-AI-InstanzAI_HUB_API_KEY: ein API Key, der die Verbindung autorisiert
Alle Verbindungen zur CLYE-AI-Instanz laufen über HTTPS. Der API Key wird bei jedem Request als Header mitgeschickt und nie lokal gespeichert (außer in deiner .env-Datei oder Environment).
API Key sicher verwalten
Empfehlungen:
- Lege den API Key in einer
.env-Datei im Projektverzeichnis ab: diese wird von der CLI automatisch eingelesen. - Stelle sicher, dass
.envin deiner.gitignoresteht und nicht in ein Repository eingecheckt wird. - Nutze für verschiedene Umgebungen (Entwicklung, Produktion) verschiedene API Keys.
- Generiere regelmäßig neue Keys und widerrufe nicht mehr genutzte Keys in den CLYE-AI-Einstellungen.
- Gib den API Key nie über unsichere Kanäle (Chat, E-Mail) weiter.
Nicht empfohlen:
# Vermeiden: API Key direkt in Shell-History
ai-hub-cli --api-key "sk-..." connect
Besser:
# .env Datei (lokal, nicht eingecheckt)
AI_HUB_URL=https://your-ai-hub.example.com
AI_HUB_API_KEY=your-api-key-here
Datenfluss je Connector
Datenbank-Connectoren (PostgreSQL, MySQL, SQLite, …)
CLYE AI ──→ CLI (lokal) ──→ Datenbank (lokal/Netzwerk)
←── SQL-Ergebnis ←──
- Zugangsdaten (Host, Port, User, Passwort) bleiben lokal in der CLI-Konfiguration.
- CLYE AI schickt die SQL-Abfrage als Tool-Aufruf: das Ergebnis (Tabellenzeilen) wird zurückgegeben.
- Verwende Zugangsdaten mit minimalen Rechten (idealerweise nur
SELECT, wenn Schreibzugriff nicht benötigt wird).
Filesystem-Connector
CLYE AI ──→ CLI (lokal) ──→ Dateisystem (lokale Pfade)
←── Dateiinhalte ←──
- Die CLI gibt nur Pfade frei, die du explizit mit
--pathangibst. - Standard: read-only: Schreibzugriff muss explizit mit
--permission fullaktiviert werden. - Gib nur die Verzeichnisse frei, die CLYE AI tatsächlich braucht.
Python- und Terminal-Executor
- Code und Befehle werden lokal auf der Maschine ausgeführt, auf der die CLI läuft.
- Stelle sicher, dass die CLI nur in vertrauenswürdigen Umgebungen mit den entsprechenden Executors gestartet wird.
- Nutze die Sandbox-Funktion (
ai-hub-cli sandbox) für zusätzliche Isolation.
Remote HTTP MCP-Server
Wenn du externe MCP-Server über HTTP anbindest:
ai-hub-cli mcp https://remote-mcp-server.example.com/mcp \
--mcp-header "Authorization: Bearer your-token-here"
- Verbinde dich nur mit MCP-Servern, denen du vertraust.
- Stelle sicher, dass der Remote-Server HTTPS verwendet.
- Tokens und Header werden nur für diese Verbindung genutzt, nicht gespeichert.
Netzwerksicherheit
- Die CLI benötigt ausgehende HTTPS-Verbindungen zu deiner CLYE-AI-Instanz.
- Lokale Connectoren (Datenbanken, Filesystem) benötigen keine eingehenden Ports: sie kommunizieren ausschließlich über stdio mit der CLI.
- In Unternehmensumgebungen hinter einer Firewall: Nur der CLYE-AI-Host muss erreichbar sein. Datenbankserver können vollständig intern bleiben.
Minimales Berechtigungsprinzip
Für Datenbankzugriffe:
- Erstelle einen dedizierten Datenbanknutzer mit minimalen Rechten.
- Gewähre nur Zugriff auf die Tabellen, die tatsächlich gebraucht werden.
- Nutze Read-only-Zugang, wenn keine Schreiboperationen nötig sind.
Für Dateisystemzugriffe:
- Gib nur spezifische Unterverzeichnisse frei: kein Root-Verzeichnis.
- Nutze den Standard-Read-only-Modus, wenn kein Schreibzugriff benötigt wird.
Für API Keys:
- Erstelle pro Anwendungsfall einen eigenen API Key.
- Widerrufe Keys, die nicht mehr genutzt werden.
Selbst-Update-Mechanismus
Die CLI kann sich über ai-hub-cli update aktualisieren. Der Download kommt vom offiziellen S3-Bucket (ai-hub-cli.s3.de.io.cloud.ovh.net). Du kannst die Quelle mit der Umgebungsvariable AI_HUB_CLI_S3_URL oder dem Flag --s3-url überschreiben, zum Beispiel für eine interne Spiegelung in regulierten Umgebungen.
Checkliste für sicheren Betrieb
Vor dem Produktiveinsatz:
- API Key in
.env-Datei, nicht als Shell-Argument oder in Scripts hardcodiert -
.envin.gitignoreeingetragen - Datenbanknutzer mit minimalen Rechten angelegt
- Nur benötigte Verzeichnisse im Filesystem-Connector freigegeben
- Filesystem-Connector ohne
--permission full, wenn kein Schreibzugriff nötig - CLI nur auf vertrauenswürdigen Maschinen mit Executor-Subcommands gestartet
- Verbindung zur CLYE-AI-Instanz über HTTPS
Kurz gesagt
Die CLI hält Zugangsdaten und Rohdaten lokal. CLYE AI erhält nur die Ergebnisse explizit freigegebener Tool-Aufrufe. Mit sorgfältiger Key-Verwaltung, minimalen Datenbankrechten und gezielten Pfad-Freigaben lässt sich die CLI sicher in Unternehmensumgebungen betreiben.