Schluss mit dem Passwort-Chaos — API-Keys lokal und verschlüsselt verwalten

“Schick mir den API-Key nochmal per WhatsApp.” Dieser Satz fällt in jedem kleinen Unternehmen, das mit mehreren Tools und Dienstleistern arbeitet. Zugangsdaten landen in E-Mails, Notiz-Apps, Post-Its — und irgendwann weiß niemand mehr, welcher Schlüssel wohin gehört.

Wer als Entwickler mehrere Projekte pflegt, kennt das Problem doppelt: 30 Seitenprojekte, jedes mit eigenem .env-File, jedes mit ANTHROPIC_API_KEY, OPENAI_API_KEY, vielleicht GOOGLE_MAPS_KEY. Schlüssel werden per Copy-Paste verteilt, landen in der Shell-History, in Chat-Kontexten, in veralteten .env-Dateien. Rotation über alle Projekte hinweg? Ein Albtraum.

Das Problem

Drei Dinge laufen in Kleinbetrieben und bei Solo-Entwicklern typischerweise schief:

1. Schlüssel liegen überall. E-Mails, Notizen, geteilte Dokumente — jeder Ort ist ein potenzielles Datenleck.
2. Rotation ist teuer. Wenn ein Schlüssel kompromittiert ist, muss er in jedem einzelnen Projekt ausgetauscht werden. Wer findet alle Stellen?
3. KI-Assistenten lesen mit. ChatGPT, Claude und Cursor arbeiten heute direkt im Projekt. Wenn Schlüssel im Klartext in .env-Dateien stehen, können sie im Kontext landen.

Die Lösung: vibe-secrets

vibe-secrets ist ein Open-Source CLI-Tool, das einen verschlüsselten Tresor auf dem eigenen Rechner anlegt. Alle Zugangsdaten an einem Ort, alle verschlüsselt mit Fernet (AES-128-CBC + HMAC-SHA256). Der Master-Schlüssel liegt im Betriebssystem-Keychain (macOS Keychain, Linux Secret Service, Windows Credential Manager) — nie auf der Festplatte.

Keine Cloud. Kein Abo. Kein Konto bei irgendwem.

Ein neues Projekt einrichten

cd ~/projekte/neue-app
vibe-secrets setup .
# → schreibt .vault.yaml, Regeln für KI-Assistenten und .gitignore

# Code schreiben, der Umgebungsvariablen nutzt
# Dann:
vibe-secrets sync .
# → scannt den Code, löst Schlüssel aus dem Tresor auf, schreibt .env

Bestehende .env-Dateien importieren

cd ~/projekte/alte-app
vibe-secrets setup .
vibe-secrets import .
# → fragt für jeden gefundenen Schlüssel: global oder projektspezifisch?

Rotation über alle Projekte hinweg

vibe-secrets rotate ANTHROPIC_API_KEY --scope global
vibe-secrets fanout ANTHROPIC_API_KEY
# → erneuert den Schlüssel in jedem registrierten Projekt automatisch

KI-Assistenten-sicher

Das ist der Kern: Wenn Claude, Codex oder Cursor im Projekt arbeiten, dürfen sie die Schlüssel nie sehen. Die agent-Befehle liefern nur Statusinformationen zurück — ok / missing / revoked / skipped — niemals den Klartext-Wert.

vibe-secrets agent inject ~/projekte/newapp
# → schreibt .env auf die Festplatte, gibt aber nur Metadaten zurück

Jeder Zugriff landet in einem manipulationssicheren Audit-Log. Wer wann welchen Schlüssel gelesen hat — alles protokolliert.

Installation

# Mit pipx (empfohlen)
pipx install vibe-secrets

# Oder aus dem Repository
git clone https://github.com/moinsen-dev/vibe-secrets
cd vibe-secrets
pipx install .

Danach reicht ein einziger Befehl, um einsatzbereit zu sein:

vibe-secrets bootstrap
# → legt den Tresor an, installiert den Claude-Code-Skill, zeigt die nächsten Schritte

Wann ist das für ein KMU relevant?

vibe-secrets ist in erster Linie für Entwickler gebaut. Relevant wird es für kleine und mittlere Unternehmen in drei Szenarien:

• Wenn ein IT-Dienstleister wechselt und alle Zugänge an einem Ort zusammengeführt werden sollen.
• Wenn interne Entwickler mit KI-Assistenten arbeiten und sicherstellen müssen, dass API-Keys nicht versehentlich im Chat-Kontext landen.
• Wenn Freelancer an mehreren Kundenprojekten arbeiten und Schlüssel zwischen diesen sauber trennen wollen.

Warum Open Source?

vibe-secrets ist MIT-lizenziert und auf GitHub verfügbar. Wir nutzen das Tool selbst in jedem neuen Projekt — und teilen es, weil Schlüsselverwaltung ein Problem ist, das jede/r hat, sobald mehr als eine Handvoll API-Keys im Spiel sind.

Link: github.com/moinsen-dev/vibe-secrets

Feedback, Issues und Pull Requests sind willkommen.