George Orwell — 1984
«Se vuoi custodire un segreto, devi nasconderlo anche a te stesso.»
È quello che abbiamo fatto. La tua chiave Identity Encryption viene derivata nel tuo browser dal tuo autenticatore WebAuthn — impronta digitale, volto o chiave hardware. I nostri server non l'hanno mai vista. Non potrebbero decifrare i tuoi campi privati nemmeno se volessero. Né chiunque altro.
Emissione di credenziali & gestione delle password
Due problemi. Un prodotto.
Gli agenti IA hanno bisogno di credenziali
I tuoi agenti distribuiscono codice, ruotano le chiavi e completano la 2FA — ma gli attuali gestori di password gli danno tutto o niente. Clavitor emette credenziali con ambito definito per ogni agente. Nessuna navigazione del vault. Nessuna scoperta.
Le credenziali hanno bisogno di una crittografia vera
Ogni gestore di password crittografa con una password principale. Se quella password è debole — o rubata — tutto crolla. Clavitor deriva le chiavi dal tuo hardware. Nessuna password da decifrare. Nessun backup da forzare.
Il problema
Ogni gestore di password è stato costruito prima che esistessero gli agenti IA. Ora devono recuperare il ritardo.
Tutto-o-niente non funziona
Tutti gli altri danno al tuo agente IA accesso a tutto nel vault, o a niente. La tua IA ha bisogno del tuo token GitHub — non dovrebbe vedere anche il tuo numero di passaporto.
Le policy non sono sicurezza
I vault «sicuri per l'IA» decrittano comunque tutto lato server. Se il server può leggerlo, non è davvero privato. La matematica batte le policy ogni volta.
Gli agenti hanno bisogno di credenziali — e della 2FA
La tua IA non può accedere, superare l'autenticazione a due fattori o ruotare le chiavi senza accesso. clavitor le permette di fare tutte e tre le cose — senza esporre la tua carta di credito allo stesso pipeline.
Come funziona
«Il tuo assistente può prenotare i tuoi voli.
Non leggere il tuo diario.»
Ogni campo è crittografato. Ma alcuni ricevono un secondo lucchetto. Quella seconda chiave viene derivata dal tuo autenticatore WebAuthn e esiste solo nel tuo browser. Noi custodiamo la cassaforte. Solo tu hai quella chiave.
Leggibile dall'IA
Crittografato a riposo, decifrabile dal server del vault. Il tuo agente IA accede a questi campi tramite la CLI.
- API keys & tokens
- SSH keys
- Codici TOTP 2FA — l'IA li genera per te
- OAuth tokens
- Note strutturate
Solo il tuo dispositivo
Crittografato lato client con WebAuthn PRF. Il server non vede mai il testo in chiaro. Mai.
- Numeri di carta di credito
- CVV
- Passaporto & SSN
- Chiavi di firma private
- Note private
Costruito in modo diverso
Non l'ennesimo gestore di password con una spunta IA. L'architettura è la funzionalità.
Visibilità IA per campo
Ogni campo ha il proprio livello di crittografia. La tua IA legge il nome utente, non il CVV. Stessa voce, accesso diverso.
WebAuthn PRF
Identity Encryption usa WebAuthn PRF — una chiave crittografica derivata dal tuo autenticatore WebAuthn — impronta digitale, volto o chiave hardware. Matematica, non policy. Letteralmente non possiamo decifrarlo.
API keys come cittadini di prima classe
L'unico vault con una categoria dedicata agli API key — accessibile agli agenti (L2) e visivamente distinta. I piani Hosted rilevano automaticamente le API keys all'importazione. Il tuo agente recupera l'API key. Il tuo passaporto non lo vede mai.
Scoped agent tokens
Crea token separati per agente. Ogni token vede solo le voci assegnate. Uno compromesso? Il resto resta al sicuro.
Un binario, un file
Niente Docker. Niente Postgres. Niente Redis. Un binario Go, un file SQLite. Gira su un Raspberry Pi. Gira su un VPS da $4/mese.
Migra da qualsiasi gestore
Importa da 14 gestori di password e browser. Ogni campo mappato, ogni tipo preservato, doppia crittografia all'arrivo. Vedi tutte le fonti →
10 agenti.
Ognuno riceve esattamente ciò di cui ha bisogno.
Crea token CLI con ambito definito per agente. Un agente compromesso espone un solo scope — non l'intero vault.
Perché non MCP? Perché le credenziali sono crittografate nel vault — devono essere decifrate localmente dalla CLI. Un server MCP non può farlo. La CLI decifra sulla tua macchina, restituisce il testo in chiaro, e nulla di sensibile passa attraverso un livello di protocollo di terze parti.
Agent workflow
# Agent fetches exactly what it's scoped to $ clavitor-cli get "GitHub Deploy" --field password ghp_a3f8...
Claude Code
# Install the skill — Claude Code learns your vault $ clavitor-cli skill > ~/.claude/skills/clavitor.md # Then just ask: # "get me the AWS credentials" # "store this API key as 'Stripe Prod'"
Il tuo agente e tu — stesso vault, accesso giusto
Quattro modi per entrare. Ognuno progettato per un contesto diverso. Tutti puntano allo stesso archivio crittografato.
CLI
Per agenti IA
Gli agenti usano la CLI per recuperare le credenziali — con ambito per agente. Ogni agente vede solo ciò che gli è stato concesso. Nessuna navigazione del vault, nessuna scoperta.
Extension
Per gli umani nel browser
Compilazione automatica delle password, generazione di codici 2FA inline e sblocco dei campi Identity con il tuo autenticatore — senza lasciare la pagina.
CLI
Per i workflow da terminale
Invia le credenziali direttamente in script e pipeline CI. vault get github.token — fatto.
API
Per tutto il resto
REST API con token ad ambito definito. Dai alla tua pipeline di deployment accesso in lettura alle chiavi di staging. Nient'altro.
Perché è importante
Violati nel 2022. Ancora sanguinanti nel .
Nel 2022, LastPass ha perso backup di vault crittografati. Ogni vault era crittografato con la password principale del cliente. Anni dopo, gli attaccanti li stanno ancora decifrando — password deboli prima, più forti dopo. L'FBI ha tracciato $150M di furti di criptovalute fino a quella singola violazione. Ma le criptovalute sono solo il danno visibile — gli stessi vault contenevano anche credenziali bancarie, accessi VPN aziendali, portali medici e conti fiscali.
Furto di criptovalute confermato da una singola violazione. Tracciato dall'FBI. Ancora in crescita. Krebs on Security ↗
I furti continuano. La crittografia era per cliente — ma la chiave era una password. Le password vengono decifrate. Security Affairs ↗
Forzare con brute-force una chiave hardware Clavitor a mille miliardi di tentativi al secondo richiederebbe mille miliardi × mille miliardi × mille miliardi × mille miliardi di volte più dell'età dell'universo. Non è un modo di dire. È la matematica.
La risposta di Clavitor: 21 regioni — ogni vault è un database isolato, non una riga in una tabella condivisa. Ogni campo di credenziale e identità ha la propria chiave di crittografia derivata dal tuo autenticatore WebAuthn — impronta digitale, volto, YubiKey o qualsiasi altro dispositivo FIDO2. Non una password che hai scelto. Non una password che avresti potuto scegliere. Una chiave che non è mai esistita su nessun server, mai esistita in nessun backup, e che non può essere forzata perché non è mai stata una stringa di caratteri.
Quel potere comporta responsabilità. Registra sempre almeno due dispositivi (telefono + portatile). Meglio ancora: stampa la tua chiave di recupero, proteggila con un PIN e conservala fuori casa. Se perdi tutti i tuoi dispositivi, quella stampa è l'unico modo per tornare. Non possiamo aiutarti — by design.
La concorrenza
Abbiamo ascoltato. E affrontato tutto.
Lamentele reali di utenti reali — su 1Password, Bitwarden e LastPass. Raccolte da forum, issue di GitHub e Hacker News. Non selezionate dai nostri utenti.
1PASSWORD — Community Forum
"The web extensions are laughably bad at this point. This has been going on for months. They either won't fill, wont' unlock, or just plain won't do anything (even clicking extension icon). It's so bad"
- clavitor: Nessuna dipendenza da app desktop. L'estensione comunica direttamente con il binario locale del vault — nessun IPC, nessuna sincronizzazione, nessuna catena di sblocco.
BITWARDEN — GitHub Issues
"Every single website loads slower. From Google, up to social media websites like Reddit, Instagram, X up to websites like example.com. Even scrolling and animation stutters sometimes. javascript heavy websites like X, Instagram, Reddit etc. become extremely sluggish when interacting with buttons. So for me the Bitwarden browser extension is unusable. It interferes with my browsing experience like malware."
- clavitor: Zero content script. L'estensione non inietta nulla nelle pagine — compila esclusivamente tramite l'API di autocompilazione del browser, solo quando lo chiedi tu.
LASTPASS — Hacker News
"The fact they're drip-feeding how bad this breach actually was is terrible enough... Personally I'm never touching them again."
— intunderflow, January 2023 ↗
- clavitor: Identity Encryption significa che — matematicamente non possiamo leggere i tuoi campi privati. Nessun dato del vault da violare.
1PASSWORD — Community Forum
"Since doing so, it asks me to enter my password every 10 minutes or so in the chrome extension"
— Anonymous (Former Member), November 2022 ↗
- clavitor: WebAuthn-first. Il tuo autenticatore è lo sblocco principale. La sessione vive localmente — nessuna scadenza lato server che forza la riautenticazione.
BITWARDEN — Community Forums
"the password not only auto-filled in the password field, but also auto-filled in reddit's search box!"
"if autofill has the propensity at times to put an entire password in plain text in a random field, autofill seems like more risk than it's worth."
- clavitor: Riconoscimento dei campi tramite LLM. L'estensione legge il modulo, chiede al modello quale campo è quale — compila per intenzione, non per selettore CSS.
BITWARDEN — Community Forums
"Bitwarden REFUSES to autofill the actual password saved for a given site or app...and instead fills an old password. It simply substitutes the OLD password for the new one that is plainly saved in the vault."
- clavitor: Il riconoscimento dei campi tramite LLM abbina per intenzione. Le voci sono indicizzate per URL — la credenziale giusta per il sito giusto, ogni volta.
Tutte le citazioni sono testuali da post pubblici. URL verificati. Vedi le fonti →
Il tuo vault deve essere ovunque tu sia.
Un gestore di password che funziona solo sulla tua rete domestica non è un gestore di password. Il tuo portatile si sposta. Il tuo telefono si sposta. La tua estensione del browser ha bisogno del tuo vault al bar, in aereo, nell'ufficio del cliente.
Gestiamo clavitor in 21 regioni su ogni continente. $12/anno. Le tue chiavi Identity Encryption non lasciano mai il tuo browser — matematicamente non possiamo leggere i tuoi campi privati.
Operativo in 30 secondi
Un comando. Nessuna dipendenza.
Terminal
Agent access — scoped, encrypted
# Initialize the agent (one-time, token from web UI) $ clavitor-cli init <setup-token> # Agent fetches only what it's scoped to $ clavitor-cli get "Vercel" --field password tV3r...