远程登录
在没有桌面浏览器的 Agent 环境里生成授权链接,由你在手机或本机浏览器完成登录。
Agent-ready command line
KT CLI
面向远程工作环境的 KT 命令行入口。它负责登录、授权、凭据 bootstrap 和 Agent 操作流程,让敏感 token 不必进入 AI 上下文。
$ kt login --no-browser
Open this URL to authorize:
https://auth.ktcli.com/cli/authorize?session_id=...&user_code=...
$ kt infisical setup --env prod
TokenDelivery: service_token
ServiceToken: configured
$ kt infisical verify --env prod
Infisical 验证通过
Secrets: 164一个入口,处理 Agent 认证链路
第一版网站聚焦 KT CLI 的安装说明、远程登录说明和 Infisical bootstrap。后续下载、文档和 Skill 副本会拆到独立子域。
凭据下发
KT 登录态通过后端白名单校验,只把当前环境需要的 Infisical bootstrap 配置写入本机。
上下文隔离
Infisical token、Cloudflare key 和业务 secret 不进入对话上下文,Agent 只看到验证状态。
标准使用流程
远程登录和凭据下发被拆成可验证的命令,每一步只暴露状态,不暴露密钥。
01
安装 KT CLI
第一版会优先覆盖 macOS 和 Linux。下载通道稳定后,这里会切到正式 release 地址。
02
发起远程登录
CLI 返回授权链接。你在浏览器完成 KT 账号授权,远程终端只保存登录态。
03
配置 Infisical
KT 后端完成 subject 白名单校验后,下发当前环境的 bootstrap 配置并写入本机安全目录。
04
验证而不泄露
验证命令只输出状态和 secret 数量,不输出 secret value。
Infisical bootstrap
KT 账号和 Infisical 通过后端绑定。CLI 只向已授权 subject 下发当前环境需要的配置,
并写入本机 `~/.kt/infisical/
对话、日志、仓库和 Skill 文件中都不应出现 service token 或业务 secret value。
安全边界
- KT 登录态证明当前操作者身份。
- 服务端白名单决定哪些 subject 能 bootstrap。
- 本地配置文件权限必须是 0600。
- 验证命令只输出状态、数量和错误类型。
- 读取业务凭据时再进入专门的 Infisical 访问流程。
Skill 副本入口
站点会展示 Agent 可复用的操作规则。源码仍以 `kt-agent/kt-agent-skills` 为准,网站只展示发布后的副本和索引。
kt-cli-infisical-bootstrap
即将同步到 `skills.ktcli.com` 的 Skill 索引。
infisical-credential-access
即将同步到 `skills.ktcli.com` 的 Skill 索引。
cf-domain-management
即将同步到 `skills.ktcli.com` 的 Skill 索引。
deployment-patterns
即将同步到 `skills.ktcli.com` 的 Skill 索引。