Saltar al contenido
Founders$49 única vez → 2 años de Pro ($98 de valor)Ser Founder →
ClauLock

Primeros pasos

Instala, guarda un secreto, úsalo.

Cinco minutos de principio a fin. Asume que ya tienes Claude Code instalado. macOS, Linux y Windows — el picker de abajo detecta tu OS y muestra el comando correcto primero.

1. Instala

Un comando, idempotente. El selector detecta tu plataforma — cambia de pestaña si estás en otra máquina:

curl -fsSL https://claulock.com/install.sh | sh

macOS 13+ · Apple Silicon / Intel · verifica minisign + cosign antes de extraer

El installer coloca los binarios en /opt/homebrew/bin/ (o /usr/local/bin/), genera una passphrase aleatoria de 24 bytes, la guarda en tu Keychain (o secret-service en Linux), arranca el daemon como launchd / systemd user agent, y mergea los hooks Bash PreToolUse y PostToolUse más el servidor MCP claulock dentro de ~/.claude/settings.json y ~/.claude.json. Los hooks y servidores MCP existentes se preservan.

2. Verifica el daemon

clsec status

Espera un estado Unlocked, un socket en $TMPDIR/clsec-<uid>.sock, y un path de vault en ~/.clsec/vault.clsec.

3. Guarda tu primer secreto

Desde la CLI, ClauLock lee el valor desde stdin para que nunca aparezca en tu historial de shell:

clsec add GITHUB_TOKEN --kind token --purpose "GitHub API"

También puedes dejar que Claude te lo pida directamente. Arranca Claude Code y dile "usa la API de GitHub para listar mis repos". Claude llamará a la tool secret_request_from_user; un cuadro de password aparece en la TUI de Claude Code; el valor va directo de ese cuadro al daemon local. El transcript del chat nunca lo ve.

4. Úsalo en una llamada Bash

Pídele a Claude que llame a GitHub. Escribirá algo como:

curl -H "Authorization: Bearer {{GITHUB_TOKEN}}" https://api.github.com/user/repos

El hook PreToolUse reescribe el comando para correr bajo clsec-exec; el shim le pide al daemon el valor; el daemon lo devuelve sobre el socket Unix; el shim hace execve a bash -lc con el placeholder sustituido. El modelo ve la forma con placeholder en el transcript. Nunca el valor.

5. Comandos comunes

clsec list
Nombres y metadata solamente. Nunca valores.
clsec rotate GITHUB_TOKEN
Reemplaza el valor, preserva id y created_at.
clsec audit --limit 50
Cada resolve / add / rotate / delete, con PID y binario del caller.
clsec lock
Tira las claves de memoria. Auto-ocurre tras 15 minutos inactivo.
clsec daemon log
Hace tail de /tmp/claulock.{out,err}.log.

6. Desinstalar

launchctl bootout gui/$(id -u)/com.claulock.daemon
rm ~/Library/LaunchAgents/com.claulock.daemon.plist
rm /opt/homebrew/bin/{clsec,clsecd,clsec-exec,clsec-mcp}
rm -rf ~/.clsec
security delete-generic-password -s claulock-passphrase -a $USER

Remueve el servidor MCP claulock y los hooks Bash de ~/.claude.json y ~/.claude/settings.json a mano.

Siguiente