오픈소스 Kontext CLI, AI 코딩 에이전트에 단명 자격증명·감사 로깅 제공… Go 기반 보안 래퍼 공개

AI 코딩 에이전트에 엔터프라이즈급 자격증명 관리와 거버넌스를 제공하는 오픈소스 CLI 도구 Kontext CLI가 공개됐다. Go 언어로 작성된 이 도구는 개발자의 기존 워크플로를 변경하지 않으면서 보안 계층을 추가하는 방식으로 설계됐다.

현재 AI 코딩 에이전트는 GitHub, Stripe, 데이터베이스 등 다양한 서비스에 접근해야 하지만, 대부분의 팀이 장기 유효 API 키를 .env 파일에 복사해 사용하고 있다. Kontext CLI는 이를 세션 시작 시 주입되고 세션 종료 시 자동 만료되는 단명(short-lived) 범위 제한 자격증명으로 대체한다.

사용법은 프로젝트에 .env.kontext 파일을 선언하는 것으로 시작된다. 이 파일에 GITHUB_TOKEN, STRIPE_KEY 등 필요한 자격증명 템플릿을 정의하면, kontext start 명령 실행 시 OIDC 인증을 거쳐 RFC 8693 토큰 교환 프로토콜로 플레이스홀더를 단명 토큰으로 교환한다.

보안 측면에서 Kontext CLI는 시스템 키링에 OIDC 리프레시 토큰을 저장하고, AES-256-GCM으로 저장 데이터를 암호화한다. 에이전트 실행 중 모든 도구 호출(PreToolUse, PostToolUse, UserPromptSubmit)은 유닉스 소켓 기반 사이드카를 통해 백엔드로 스트리밍되어 감사 로그로 기록된다.

사이드카 프로세스는 에이전트와 함께 실행되며 30초 간격 하트비트로 세션 상태를 유지한다. 백엔드와의 통신은 전적으로 ConnectRPC를 통해 이루어지며, LLM 추론 내용이나 토큰 사용량, 대화 기록은 수집하지 않는다고 명시했다.

현재 Claude Code를 공식 지원하며, Cursor와 OpenAI Codex 지원은 계획 단계에 있으나 아직 출시되지 않았다. 설치는 Homebrew를 통해 가능하고, Node나 Python 런타임 없이 네이티브 Go 바이너리로 실행된다.

.env.kontext 파일을 리포지토리에 커밋하면 팀 전체가 동일한 자격증명 설정을 공유할 수 있으며, 실제 시크릿은 소스 코드에 포함되지 않는다. 이 프로젝트는 MIT 라이선스로 공개됐다.