Runtime Secret Inventory¶
Stand: 2026-05-30
Kurzfazit¶
Dieser Report beschreibt Secret-Abhaengigkeiten ohne Werte. Lokale ENV ist nur teilweise geeignet: LITELLM_API_KEY und LANSTYLE_MCPHUB_TOKEN sind gesetzt, BW_SESSION und QDRANT_API_KEY fehlen lokal. Runtime-Jobs muessen serverseitig laufen und duerfen nicht vom Entwickler-Mac oder interaktivem Vaultwarden-Unlock abhaengen.
Inventory¶
| Secret | Zweck | Runtime vorhanden? | Vaultwarden vorhanden? | Dokumentiert? | Owner | Rotation |
|---|---|---|---|---|---|---|
LITELLM_API_KEY |
Modellzugriff fuer lokale/Operator Tests | lokal SET | erwartet | ja | AI Ops/User | per Self-Service/Virtual Key |
LANSTYLE_MCPHUB_TOKEN |
Remote MCP Bearer Token | lokal SET | erwartet | ja | AI Ops/User | per Self-Service/Token Store |
QDRANT_API_KEY |
Qdrant Reindex/Retrieval Validation | lokal MISSING | erwartet | ja | AI Ops | vor Reindex-Execute |
BW_SESSION |
Vaultwarden CLI Session | lokal MISSING | n/a | ja | AI Ops | kurzlebig |
LANSTYLE_LITELLM_ADMIN_KEY |
LiteLLM Virtual-Key-Management | nicht lokal bestaetigt | erwartet | ja | AI Ops | streng, nach Exposure sofort |
HERMES_CONTEXT_LITELLM_API_KEY |
Hermes Context Search Embeddings | nicht lokal bestaetigt | erwartet | ja | AI Ops | serverseitig |
HERMES_CONTEXT_QDRANT_API_KEY |
Hermes Context Search Qdrant | nicht lokal bestaetigt | erwartet | ja | AI Ops | serverseitig |
HERMES_SERVICE_SECRET |
Gateway Service Auth | LXC 260 erwartet | vorhanden laut Doku | ja | AI Ops | definiert |
HERMES_API_TOKEN |
Gateway API Auth | LXC 260 erwartet | vorhanden laut Doku | ja | AI Ops | definiert |
TEAMS_APP_SECRET |
Teams Bot/App | noch nicht live bestaetigt | Placeholder erwartet | ja | M365 Ops | vor Consent |
VOICE_DEVICE_TOKEN |
Jarvis/Voice Device | Pilot/je Device | geplant | ja | AI Ops | pro Geraet |
NETBOX_TOKEN |
NetBox Read-only/Scoped Write | Agent Runtime erwartet | vorhanden laut Doku | ja | NetOps | getrennt nach Scope |
PROXMOX_TOKEN |
Proxmox Controlled Execution | Agent Runtime erwartet | vorhanden laut Doku | ja | Infra Ops | definiert |
NPM_TOKEN |
NPM Changeplans/Writes | Agent Runtime erwartet | vorhanden laut Doku | ja | Infra Ops | definiert |
Blockierende Funktionen bei fehlendem Secret-Kontext¶
| Funktion | Blocker | Verhalten |
|---|---|---|
| Obsidian Reindex Execute | LITELLM_API_KEY oder QDRANT_API_KEY fehlt |
fail-closed, dry-run erlaubt |
| Retrieval Validation | Qdrant/LiteLLM Secrets fehlen | Status not_configured erwartet |
| Hermes Context Tool | HERMES_CONTEXT_* fehlt |
read-only Tool soll keine Werte leaken und blockiert sauber |
| LiteLLM Admin Key Generation | Admin Key fehlt | Self-Service Rollout/Rotate blockiert |
| Vaultwarden Live Inventory | BW_SESSION fehlt |
kein Secret-Dump, nur Status/Gaps |
Empfehlung¶
Serverseitig /etc/lanstyle/knowledge-ops.env finalisieren, root-only halten und nur Secret-Status (SET/MISSING, Fingerprint, Expires) in Reports ausgeben.