1Password整合OpenAI Codex讓AI代理使用憑證但不取得秘密值
1Password宣布與OpenAI Codex整合,透過MCP伺服器讓AI代理可在執行任務時使用憑證,但秘密值(密碼、API金鑰等)永遠不進入AI模型上下文,降低憑證洩漏風險。
核心概念
問題背景: 程式開發代理從輔助撰寫程式走向執行與準備上線工作,當代理需要連接資料庫、呼叫API或處理部署流程時,需要API金鑰、資料庫密碼等憑證,過去開發者常把這些資訊放在環境變數檔或直接寫入儲存庫。
解決方案: 1Password推出MCP伺服器,讓Codex在特定任務中呼叫1Password管理的環境與憑證存取流程,而不是取得或保管秘密值。
技術架構
Codex → 本機MCP伺服器 → 1Password桌面應用程式 → 憑證核發(需用戶明確核准)
- 秘密值不進入模型上下文
- 存取在需要時核發,依任務限制範圍
- 變數直接注入被授權的程序,只在需要期間存在於記憶體
- Codex不寫入磁碟、不透過MCP通道回傳秘密值
適用場景
- 建立應用程式環境設定
- 連接資料庫、API呼叫、部署流程
- 檢查並遷移儲存庫中的明文憑證至1Password管理