Blog Docs Download Status Looking Glass Contact sales
CLAVITORBlack-box credential issuance
Network Security Pricing
Developers
Developer overviewCLI, SDKs, webhooks Browser extensionAutofill, passkeys, generator Mobile appsNative iOS and Android Claude CodeScoped tokens CodexOpenAI integration OpenClawMCP resolver ImportFrom any password manager
Resources
Blog Docs Download Status Looking Glass Contact sales
Solutions
Consumer SMB Enterprise MSP
Language
🇮🇩 Bahasa Indonesia 🇩🇰 Dansk 🇩🇪 Deutsch 🇺🇸 English 🇪🇸 Español 🇫🇷 Français 🇮🇹 Italiano 🇳🇱 Nederlands 🇳🇴 Norsk 🇵🇱 Polski 🇧🇷 Português 🇫🇮 Suomi 🇸🇪 Svenska 🇻🇳 Tiếng Việt 🇹🇷 Türkçe 🇷🇺 Русский 🇺🇦 Українська 🇮🇳 हिन्दी 🇹🇭 ไทย 🇨🇳 中文 🇯🇵 日本語 🇰🇷 한국어
Sign in Use for free — 10 entries

George Orwell — 1984

"Als je een geheim wilt bewaren, moet je het ook voor jezelf verbergen."

Dat hebben wij gedaan. Je Identity Encryption-sleutel wordt in je browser afgeleid van je WebAuthn-authenticator — vingerafdruk, gezicht of hardwaresleutel. Onze servers hebben hem nooit gezien. Ze zouden je privévelden niet kunnen ontsleutelen, zelfs als ze dat wilden. En niemand anders.

Start free → See plans
AI Agent You only Credential — AI can read github_token ssh_key totp_github oauth_slack Identity — only you credit_card cvv passport ssn

Credential-uitgifte & wachtwoordbeheer

Twee problemen. Eén oplossing.

AI-agents hebben credentials nodig

Je agents deployen code, roteren sleutels en doorlopen 2FA — maar huidige wachtwoordmanagers geven ze alles of niets. Clavitor geeft elke agent alleen de credentials die hij nodig heeft. Geen rondneusen in de vault.

Credentials hebben echte encryptie nodig

Elke wachtwoordmanager versleutelt met een hoofdwachtwoord. Is dat wachtwoord zwak — of gestolen — dan valt alles. Clavitor leidt sleutels af van je hardware. Geen wachtwoord om te kraken. Geen backup om te brute-forcen.

Het probleem

Elke wachtwoordmanager is gebouwd voordat AI-agents bestonden. Nu moeten ze inhalen.

Alles-of-niets werkt niet

Alle andere managers geven je AI-agent toegang tot alles in je vault, of tot helemaal niets. Je AI heeft je GitHub-token nodig — maar hoeft niet ook je paspoortnummer te zien.

Beleid is geen beveiliging

"AI-veilige" vaults ontsleutelen nog steeds alles server-side. Als de server het kan lezen, is het niet echt privé. Wiskunde wint het altijd van beleid.

Agents hebben credentials nodig — én 2FA

Je AI kan niet inloggen, geen tweefactor-authenticatie doorlopen en geen sleutels roteren zonder toegang. clavitor maakt alle drie mogelijk — zonder je creditcard bloot te stellen aan dezelfde pipeline.

Hoe het werkt

"Je assistent kan je vluchten boeken.
Niet je dagboek lezen."

Elk veld is versleuteld. Maar sommige krijgen een tweede slot. Die tweede sleutel wordt afgeleid van je WebAuthn-authenticator en bestaat alleen in je browser. Wij bewaken de kluis. Alleen jij hebt die sleutel.

Credential Encryption

Leesbaar voor AI

Versleuteld in rust, ontsleutelbaar door de vault-server. Je AI-agent benadert deze via de CLI.

  • API keys & tokens
  • SSH keys
  • TOTP 2FA-codes — AI genereert ze voor je
  • OAuth tokens
  • Gestructureerde notities
Identity Encryption

Alleen jouw apparaat

Client-side versleuteld met WebAuthn PRF. De server ziet de plaintext nooit. Nooit.

  • Creditcardnummers
  • CVV
  • Paspoort & SSN
  • Privé-ondertekeningssleutels
  • Privénotities

Anders gebouwd

Niet zómaar een wachtwoordmanager met een AI-vinkje. De architectuur is de feature.

AI-zichtbaarheid per veld

Elk veld heeft zijn eigen encryptieniveau. Je AI leest de gebruikersnaam, niet de CVV. Zelfde item, verschillende toegang.

WebAuthn PRF

Identity Encryption gebruikt WebAuthn PRF — een cryptografische sleutel afgeleid van je WebAuthn-authenticator — vingerafdruk, gezicht of hardwaresleutel. Wiskunde, geen beleid. Wij kunnen het letterlijk niet ontsleutelen.

API-keys als eerste klasse

De enige vault met een speciale API-key-categorie — toegankelijk voor agents en visueel onderscheidend. Hosted-abonnementen detecteren API-keys automatisch bij import. Je agent haalt de API-key op, maar ziet je paspoort nooit.

Beperkte agent-tokens

Maak aparte tokens per agent. Elke token ziet alleen de toegewezen items. Eentje gecompromitteerd? De rest blijft veilig.

Één binary, één bestand

Geen Docker. Geen Postgres. Geen Redis. Één Go-binary, één SQLite-bestand. Draait op een Raspberry Pi. Draait op een VPS van $4/maand.

Migratie vanuit alles

Importeer vanuit 14 wachtwoordmanagers en browsers. Elk veld gemapt, elk type behouden, dubbel versleuteld tijdens import. Alle bronnen bekijken →

10 agents.
Elk krijgt precies wat het nodig heeft.

Maak scoped CLI-tokens per agent. Eén gecompromitteerde agent legt één scope bloot — niet je hele vault.

Waarom geen MCP? Omdat credentials versleuteld in de vault staan — ze moeten lokaal door de CLI worden ontsleuteld. Een MCP-server kan dat niet. De CLI ontsleutelt op jouw machine, geeft de plaintext terug, en er passeert niets gevoeligs door een protocol van derden.

Agent workflow

# Agent fetches exactly what it's scoped to
$ clavitor-cli get "GitHub Deploy" --field password
ghp_a3f8...

Claude Code

# Install the skill — Claude Code learns your vault
$ clavitor-cli skill > ~/.claude/skills/clavitor.md

# Then just ask:
# "get me the AWS credentials"
# "store this API key as 'Stripe Prod'"

Alle talen en platforms bekijken →

CLAVITOR Agent 1 dev Agent 2 social Agent 3 finance Agent 4 infra Agent 5 deploy github ssh gitlab twitter slack discord stripe plaid aws k8s docker vercel netlify

Jouw agent en jij — dezelfde vault, de juiste toegang

Vier manieren om erin te komen. Elk ontworpen voor een andere context. Allemaal naar dezelfde versleutelde opslag.

CLI

Voor AI-agents

Agents gebruiken de CLI om credentials op te halen — beperkt per agent. Elke agent ziet alleen waar hij toegang toe heeft. Geen rondneusen in de vault.

Extension

Voor mensen in de browser

Vul wachtwoorden automatisch in, genereer 2FA-codes inline en ontgrendel Identity-velden met je authenticator — zonder de pagina te verlaten.

CLI

Voor terminal-workflows

Pipe credentials rechtstreeks in scripts en CI-pipelines. vault get github.token — klaar.

API

Voor al het andere

REST API met scoped tokens. Geef je deployment-pipeline leestoegang tot staging-sleutels. Verder niets.

Waarom dit ertoe doet

Gehackt in 2022. Bloedt nog steeds in .

In 2022 verloor LastPass versleutelde vault-backups. Elke vault was versleuteld met het hoofdwachtwoord van de klant. Jaren later kraken aanvallers ze nog steeds — zwakke wachtwoorden eerst, sterkere daarna. De FBI traceerde $150M aan cryptodiefstal naar die ene inbraak. Maar crypto is alleen de zichtbare schade — diezelfde vaults bevatten ook banklogins, VPN-toegang, medische portalen en belastingaccounts.

$150M+

Bevestigde cryptodiefstal uit één enkele inbraak. Door de FBI getraceerd. Groeit nog steeds. Krebs on Security ↗

3 jaar

Diefstallen gaan door. De encryptie was per klant — maar de sleutel was een wachtwoord. Wachtwoorden worden gekraakt. Security Affairs ↗

forever

Het brute-forcen van een Clavitor-hardwaresleutel met een biljoen pogingen per seconde zou een biljoen × een biljoen × een biljoen × een biljoen keer langer duren dan het universum bestaat. Dat is geen beeldspraak. Dat is de wiskunde.

Het antwoord van Clavitor: 21 regio's — elke vault is een geïsoleerde database, geen rij in een gedeelde tabel. Elke credential en elk identiteitsveld heeft zijn eigen encryptiesleutel, afgeleid van je WebAuthn-authenticator — vingerafdruk, gezicht, YubiKey of elk ander FIDO2-apparaat. Geen wachtwoord dat je hebt gekozen. Geen wachtwoord dat je had kúnnen kiezen. Een sleutel die nooit op een server heeft bestaan, nooit in een backup heeft gezeten, en niet brute-forced kan worden omdat het nooit een tekenreeks is geweest.

Die kracht brengt verantwoordelijkheid. Registreer altijd minstens twee apparaten (telefoon + laptop). Beter nog: print je herstelsleutel, beveilig hem met een PIN en bewaar hem buiten je huis. Als je al je apparaten verliest, is die print je enige weg terug. Wij kunnen je niet helpen — by design.

De concurrentie

We hebben geluisterd. En alles aangepakt.

Echte klachten van echte gebruikers — over 1Password, Bitwarden en LastPass. Verzameld uit forums, GitHub-issues en Hacker News. Niet geselecteerd uit onze eigen gebruikers.

1PASSWORD — Community Forum

"The web extensions are laughably bad at this point. This has been going on for months. They either won't fill, wont' unlock, or just plain won't do anything (even clicking extension icon). It's so bad"

— notnotjake, April 2024 ↗

  • clavitor: Geen desktop-app-afhankelijkheid. De extensie communiceert rechtstreeks met de lokale vault-binary — geen IPC, geen sync, geen unlock-ketens.

BITWARDEN — GitHub Issues

"Every single website loads slower. From Google, up to social media websites like Reddit, Instagram, X up to websites like example.com. Even scrolling and animation stutters sometimes. javascript heavy websites like X, Instagram, Reddit etc. become extremely sluggish when interacting with buttons. So for me the Bitwarden browser extension is unusable. It interferes with my browsing experience like malware."

— julianw1011, 2024 ↗

  • clavitor: Nul content scripts. De extensie injecteert niets in pagina's — invullen gaat uitsluitend via de browser-autofill-API, alleen wanneer jij erom vraagt.

LASTPASS — Hacker News

"The fact they're drip-feeding how bad this breach actually was is terrible enough... Personally I'm never touching them again."

— intunderflow, January 2023 ↗

  • clavitor: Identity Encryption betekent dat wij je privévelden wiskundig niet kunnen lezen. Geen vault-data om te lekken.

1PASSWORD — Community Forum

"Since doing so, it asks me to enter my password every 10 minutes or so in the chrome extension"

— Anonymous (Former Member), November 2022 ↗

  • clavitor: WebAuthn-first. Je authenticator is de primaire unlock. Sessie leeft lokaal — geen server-side verloop dat herauthenticatie afdwingt.

BITWARDEN — Community Forums

"the password not only auto-filled in the password field, but also auto-filled in reddit's search box!"

"if autofill has the propensity at times to put an entire password in plain text in a random field, autofill seems like more risk than it's worth."

— xru1nib5 ↗

  • clavitor: LLM-veldherkenning. De extensie leest het formulier, vraagt het model welk veld wat is — vult in op basis van intentie, niet op CSS-selector.

BITWARDEN — Community Forums

"Bitwarden REFUSES to autofill the actual password saved for a given site or app...and instead fills an old password. It simply substitutes the OLD password for the new one that is plainly saved in the vault."

— gentlezacharias ↗

  • clavitor: LLM-veldherkenning matcht op intentie. Items zijn geïndexeerd op URL — de juiste credential voor de juiste site, elke keer.

Alle citaten letterlijk uit openbare berichten. URL's geverifieerd. Bronnen bekijken →

Je vault moet overal zijn waar jij bent.

Een wachtwoordmanager die alleen op je thuisnetwerk werkt, is geen wachtwoordmanager. Je laptop verplaatst zich. Je telefoon verplaatst zich. Je browserextensie heeft je vault nodig in het café, in het vliegtuig, op kantoor bij de klant.

Zelf hosten betekent een server met een publiek IP, DNS, TLS-certificaten, uptime-monitoring en backups. Dat is geen weekendproject — dat is infrastructuur.

Wij draaien clavitor in 21 regio's op elk continent. $12/jaar. Je Identity Encryption-sleutels verlaten nooit je browser — wij kunnen je privévelden wiskundig niet lezen.

Start free → See plans

Binnen 30 seconden draaiend

Één commando. Geen dependencies.

Terminal

# Initialize the agent (one-time, token from web UI)
$ curl -fsSL clavitor.ai/install.sh | sh
$ clavitor
# Running on http://localhost:1984

Agent access — scoped, encrypted

# Initialize the agent (one-time, token from web UI)
$ clavitor-cli init <setup-token>

# Agent fetches only what it's scoped to
$ clavitor-cli get "Vercel" --field password
tV3r...