Zum Inhalt

AI Suite Credentials Inventory Report

Stand: 2026-05-30

Kurzfazit

Vaultwarden bleibt Source of Truth fuer produktive Secrets. Dieser Report dokumentiert Secret-Zweck, erwarteten Speicherort, Runtime-Nutzung, Owner und Rotation, ohne Secretwerte zu lesen oder auszugeben.

Live-Hinweis: bw status meldete Vaultwarden als locked. Ein Unlock mit Masterpasswort wurde in diesem Lauf bewusst nicht ueber Tool-Ausgaben erzwungen, damit kein Passwort in Tooltraces landet. Der Abgleich ist deshalb ein dokumentations- und runtime-basierter Inventory-Check, kein vollstaendiger Vaultwarden-Live-Dump.

Lokaler Secret-Status

Secret-Kontext Status Bewertung
BW_SESSION missing Lokale Entwickler-Session ist nicht fuer produktive Runtime-Jobs geeignet
LITELLM_API_KEY set Nur Status bestaetigt, kein Wert gelesen
LANSTYLE_MCPHUB_TOKEN set Nur Status bestaetigt, kein Wert gelesen
QDRANT_API_KEY missing Qdrant-Reindex/Retrieval-Tests duerfen lokal nicht von Mac-ENV abhaengen

Inventory

Name / Kategorie Zweck Vaultwarden Entry Runtime Location Dokumentiert Owner Rotation
LiteLLM Admin Key Virtual-Key-Erzeugung und Admin-Operationen Lanstyle / LiteLLM Admin Agent Runtime Env ja AI Ops regelmaessig, nach Exposure sofort
LiteLLM Operator Keys OpenCode/OpenWebUI Benutzerzugriff Lanstyle / OpenCode Access / <user-device> User secrets.env, LiteLLM Virtual Key Store ja jeweiliger User + AI Ops Self-Service rotate/revoke
MCPHub Operator Token Remote MCP read-only/preflight Lanstyle / OpenCode Access / <user-device> MCP Token Store, User secrets.env ja jeweiliger User + AI Ops Self-Service rotate/revoke
Context7 API Key Optionaler Kontextprovider fuer OpenCode Lanstyle / OpenCode Context7 API Key User secrets.env optional teilweise AI Ops nach Provider-Vorgabe
Qdrant API Key Semantic Retrieval und Reindex Lanstyle / Nous Hermes Qdrant Memory / lanstyle-hermes-01 geplanter serverseitiger Reindex-Env ja AI Ops definiert, noch haerten
AI Gateway Secret Gateway-interne Auth/Routing Lanstyle / Hermes Service Token / lanstyle-hermes-01 /etc/hermes root-only ja AI Ops definiert
Nous Hermes Core API Gateway zu Hermes Core Lanstyle / Nous Hermes Core API / lanstyle-hermes-01 /etc/nous-hermes root-only ja AI Ops definiert
Hermes LiteLLM Routing Secret Modellzugriff fuer Hermes Core Lanstyle / Nous Hermes LiteLLM Routing / lanstyle-hermes-01 /etc/nous-hermes root-only ja AI Ops definiert
MCPHub / Tools API Token Interne Tool-API Auth Lanstyle / Tools API Token Agent Runtime Env / Token Store ja AI Ops definiert
NetBox Read-only Token Inventar-/Statusabfragen Lanstyle / NetBox API Token Agent Readonly Agent Runtime Env ja NetOps + AI Ops definiert
NetBox Test Write Token Scoped Testtag Write Lanstyle / NetBox API Token Agent Test Write Agent Runtime Env bei Bedarf ja NetOps + AI Ops kurzlebig
NetBox Legacy Write Token historischer Write-Zugriff Lanstyle / NetBox API Token Agent Legacy Write nicht fuer neue Writes teilweise NetOps deprecated candidate
Proxmox API Token Scoped Proxmox Chains Lanstyle / Proxmox API Token Agent Agent Runtime Env ja Infra Ops definiert
NPM API Token NPM Changeplan/ggf. scoped Writes Lanstyle / Nginx Proxy Manager API Agent Runtime Env bei Bedarf ja Infra Ops definiert
n8n API Token Workflow-Integration Lanstyle / n8n API Token AI Infra Runtime Env bei Bedarf teilweise AI Ops offen
Teams App/Bot Secret Teams-Hermes Vorbereitung Lanstyle / Hermes Teams App Registration / Lanstyle / Hermes Bot Framework Secret noch Placeholder/Runbook ja M365 Ops + AI Ops vor Produktivstart
Jarvis/Voice Device Token Voice Device Auth Lanstyle / Hermes Voice Device / <device-name> Device secrets.env oder Vaultwarden Export ja AI Ops pro Device
Reindex Job Secrets Obsidian/Qdrant Reindex und Retrieval Validation geplant: Lanstyle / Knowledge Ops Reindex Job geplant: /etc/lanstyle/knowledge-ops.env ja AI Ops vor Aktivierung

Bewertung

  • Source of Truth ist konsistent als Vaultwarden beschrieben.
  • Runtime-Jobs duerfen nicht dauerhaft vom Entwickler-Laptop oder lokaler Vaultwarden-Session abhaengen.
  • Reindex-, Retrieval- und Memory-Jobs brauchen einen serverseitigen Secret-Kontext mit Statusanzeige SET/MISSING, aber ohne Wertausgabe.
  • Deprecated/Legacy-Tokens muessen in Vaultwarden markiert und aus produktiven Defaults entfernt bleiben.

Empfohlene naechste Massnahmen

  1. Server-seitiges Secret-Status-Tool bauen: nur SET/MISSING, Fingerprint und Ablaufdatum.
  2. Lanstyle / Knowledge Ops Reindex Job als dedizierten Vaultwarden-Eintrag vorbereiten.
  3. Rotation-History fuer LiteLLM, MCP, Qdrant, Hermes und Teams vereinheitlichen.
  4. Legacy-/Bootstrap-Tokens in Vaultwarden als DEPRECATED markieren, nicht blind loeschen.