AI Suite Vaultwarden Gap Analysis
Stand: 2026-05-30
Kurzfazit
Der Vaultwarden-Livebestand wurde in diesem Lauf nicht als Klartextliste exportiert. Die CLI war gesperrt; aus Sicherheitsgruenden wurden keine Masterpasswoerter in Toolaufrufe geschrieben. Die Gap-Analyse basiert auf Dokumentation, Runtime-Kontext und bekannten Entry-Namen.
Missing in Vaultwarden
| Kandidat |
Status |
Risiko |
Empfohlene Aktion |
Lanstyle / Knowledge Ops Reindex Job |
nicht live bestaetigt |
Reindex bleibt ggf. von manueller Session abhaengig |
dedizierten Entry mit Qdrant/LiteLLM Reindex-Kontext anlegen |
Lanstyle / Retrieval Validation Job |
nicht live bestaetigt |
Retrieval Validation nicht voll automatisierbar |
Entry oder klaren Shared Runtime Context definieren |
| Teams Bot produktive Secrets |
Placeholder erwartet |
Teams-Integration bleibt vorbereitet, nicht aktiv |
erst bei Azure App Consent finalisieren |
| Voice Device Tokens je Geraet |
nur Konzept/bei Bedarf |
Device-Onboarding bleibt manuell |
pro Device Entry erzeugen, wenn Device pilotiert wird |
Missing in Docs
| Bereich |
Luecke |
Empfohlene Aktion |
| Rotation History |
nicht fuer alle Secretklassen gleich beschrieben |
einheitliches Feldschema in Vaultwarden-Doku |
| Owner |
alte Tokens teils ohne eindeutigen Owner |
Owner AI Ops, NetOps, M365 Ops nachtragen |
| Runtime Location |
OpenWebUI/MCPHub Details teils verteilt |
in Referenzarchitektur und Secret Inventory verlinken |
| Expiration |
nicht alle Tokens haben explizites Ablaufdatum |
Ablaufdatum oder bewusste Ausnahme dokumentieren |
Deprecated Candidates
| Secret / Bereich |
Grund |
Behandlung |
| NetBox Legacy Write Token |
Testwrite und produktive Scoped Writes laufen getrennt |
als DEPRECATED markieren, nicht loeschen ohne Revocation-Plan |
| alte OpenCode Bootstrap Tokens |
Self-Service erzeugt per-user Tokens |
als Legacy markieren, Rotation/Revocation planen |
| alte 10.x Runtime-Fallback Secrets |
VLAN70-only Zielbild |
nur im Audit-/Rollback-Kontext behalten |
| experimentelle Modellkeys |
agent/agent-nothink nicht fuer normale Operatoren |
admin-only/experimental markieren |
Unknown Owner
| Bereich |
Unsicherheit |
Naechster Check |
| Teams App Registration |
finaler Tenant-/App-Owner offen |
M365 Owner festlegen |
| Jarvis/Voice Provider |
STT/TTS Provider noch nicht produktiv gewaehlt |
erst nach Voice-Pilot konkretisieren |
| Knowledge Ops Runtime |
serverseitiger Job-Owner offen |
AI Ops als Owner setzen |
Zielbild
- Entwickler-Laptop: keine produktiven Runtime-Secrets, keine Reindex-Abhaengigkeit.
- Server: Vaultwarden Sync/Unlock ueber root-only Runtime-Kontext, Status ohne Werteausgabe.
- Doku: jedes Secret hat Owner, Zweck, Scope, Runtime Location, Rotation und Emergency Revoke.
Naechster sicherer Schritt
Vor Aktivierung des Reindex-Service einen read-only Vaultwarden-Statuslauf auf dem Server bauen, der Entry-Namen, Fingerprints, Ablaufdaten und SET/MISSING liefert, aber keine Secretwerte ausgibt.