Zum Inhalt

AI Suite Vaultwarden Gap Analysis

Stand: 2026-05-30

Kurzfazit

Der Vaultwarden-Livebestand wurde in diesem Lauf nicht als Klartextliste exportiert. Die CLI war gesperrt; aus Sicherheitsgruenden wurden keine Masterpasswoerter in Toolaufrufe geschrieben. Die Gap-Analyse basiert auf Dokumentation, Runtime-Kontext und bekannten Entry-Namen.

Missing in Vaultwarden

Kandidat Status Risiko Empfohlene Aktion
Lanstyle / Knowledge Ops Reindex Job nicht live bestaetigt Reindex bleibt ggf. von manueller Session abhaengig dedizierten Entry mit Qdrant/LiteLLM Reindex-Kontext anlegen
Lanstyle / Retrieval Validation Job nicht live bestaetigt Retrieval Validation nicht voll automatisierbar Entry oder klaren Shared Runtime Context definieren
Teams Bot produktive Secrets Placeholder erwartet Teams-Integration bleibt vorbereitet, nicht aktiv erst bei Azure App Consent finalisieren
Voice Device Tokens je Geraet nur Konzept/bei Bedarf Device-Onboarding bleibt manuell pro Device Entry erzeugen, wenn Device pilotiert wird

Missing in Docs

Bereich Luecke Empfohlene Aktion
Rotation History nicht fuer alle Secretklassen gleich beschrieben einheitliches Feldschema in Vaultwarden-Doku
Owner alte Tokens teils ohne eindeutigen Owner Owner AI Ops, NetOps, M365 Ops nachtragen
Runtime Location OpenWebUI/MCPHub Details teils verteilt in Referenzarchitektur und Secret Inventory verlinken
Expiration nicht alle Tokens haben explizites Ablaufdatum Ablaufdatum oder bewusste Ausnahme dokumentieren

Deprecated Candidates

Secret / Bereich Grund Behandlung
NetBox Legacy Write Token Testwrite und produktive Scoped Writes laufen getrennt als DEPRECATED markieren, nicht loeschen ohne Revocation-Plan
alte OpenCode Bootstrap Tokens Self-Service erzeugt per-user Tokens als Legacy markieren, Rotation/Revocation planen
alte 10.x Runtime-Fallback Secrets VLAN70-only Zielbild nur im Audit-/Rollback-Kontext behalten
experimentelle Modellkeys agent/agent-nothink nicht fuer normale Operatoren admin-only/experimental markieren

Unknown Owner

Bereich Unsicherheit Naechster Check
Teams App Registration finaler Tenant-/App-Owner offen M365 Owner festlegen
Jarvis/Voice Provider STT/TTS Provider noch nicht produktiv gewaehlt erst nach Voice-Pilot konkretisieren
Knowledge Ops Runtime serverseitiger Job-Owner offen AI Ops als Owner setzen

Zielbild

  • Entwickler-Laptop: keine produktiven Runtime-Secrets, keine Reindex-Abhaengigkeit.
  • Server: Vaultwarden Sync/Unlock ueber root-only Runtime-Kontext, Status ohne Werteausgabe.
  • Doku: jedes Secret hat Owner, Zweck, Scope, Runtime Location, Rotation und Emergency Revoke.

Naechster sicherer Schritt

Vor Aktivierung des Reindex-Service einen read-only Vaultwarden-Statuslauf auf dem Server bauen, der Entry-Namen, Fingerprints, Ablaufdaten und SET/MISSING liefert, aber keine Secretwerte ausgibt.