Saltar al contenido
Founders$49 única vez → 2 años de Pro ($98 de valor)Ser Founder →
ClauLock

Preguntas frecuentes

Preguntas frecuentes.

Respuestas cortas a las preguntas que aparecen más seguido. El threat model y los tradeoffs de diseño están en Seguridad; el walkthrough de install y primer-secreto está en Docs.

¿Funciona con herramientas distintas a Claude Code?
Hoy ClauLock incluye un plugin para Claude Code: hooks Bash PreToolUse / PostToolUse más un servidor MCP. El daemon subyacente es agnóstico del cliente, así que se puede construir una integración similar para cualquier agente que soporte MCP o shell hooks. Lanzaremos integraciones oficiales para más clientes según crezca la demanda.
¿El daemon es obligatorio?
Sí. El daemon es quien mantiene las claves desenvueltas en memoria mlocked y aplica las reglas de acceso por rol — incluyendo el bloqueo de Resolve para el rol MCP. Sin él no hay lugar para guardar claves en memoria de forma segura, y no hay punto de enforcement. La CLI, el exec shim y el servidor MCP son todos clientes IPC ligeros.
¿Qué pasa si pierdo mi passphrase?
Tu vault es irrecuperable. Argon2id más XChaCha20-Poly1305 sin escrow significa que no hay backdoor del vendor. Ese es el punto. Haz backup de tu archivo vault (~/.clsec/vault.clsec) y de tu passphrase — la copia del Keychain está atada al login de tu usuario. Rota las credenciales si sospechas pérdida.
¿En qué se diferencia de 1Password Shell Plugins?
Shell Plugins son excelentes para humanos tecleando comandos en un terminal. ClauLock está diseñado específicamente para el loop AI-agent: el invariante de que el modelo nunca recibe el texto plano está aplicado por la forma de la API MCP y por un socket con roles, no por una confirmación por comando. Y corre 100% local por defecto — sin componente SaaS.
¿Solo macOS?
macOS y Linux hoy. macOS guarda la passphrase en el Keychain (unlock Touch ID cuando está disponible); Linux usa freedesktop secret-service vía libsecret. Soporte Windows con DPAPI planeado para Fase 3.
¿Claude alguna vez ve mi secreto?
No. El servidor MCP no expone ninguna tool que devuelva un valor en texto plano — no secret_reveal, no secret_read, no secret_export_plaintext. Los placeholders en comandos Bash se sustituyen en fork/exec por el shim clsec-exec, no por el modelo. Si un comando imprime el valor a stdout, el hook PostToolUse reescribe los bytes coincidentes a [REDACTED:<name>] antes de que Claude lea el output.
¿Qué pasa si un comando imprime el secreto a stdout?
El hook PostToolUse corre un escaneo Boyer-Moore sobre el output del comando buscando cualquier valor que se haya resuelto para esa llamada y reemplaza las coincidencias con [REDACTED:<name>]. La lista cooperativa de valores pasa out-of-band — el hook mismo nunca ve claves que no necesita. Hoy este scrubber está parcialmente stubbed y aterriza como v0.1 P0 antes del release público.
¿Puedo auto-hospedar un vault de equipo?
Aún no. ClauLock es single-user, single-machine en el release actual. Una capa team-sync con cifrado end-to-end y servidor zero-knowledge está planeada; no debilitará el invariante local.
¿El código fuente es abierto?
Sí. La cripto (Capa 1) es Apache-2.0 en GitHub. El producto (Capa 2) es BUSL-1.1 source-available, convierte a Apache-2.0 en 4 años. El crate de cripto es lo primero que esperamos que los auditores lean; publicaremos reportes de auditoría cuando lleguen.
¿ClauLock llama a casa o envía telemetría?
El producto (daemon, CLI, MCP, hooks) tiene cero actividad de red por defecto — sin analytics, sin crash reporter, sin update pings. Tus secretos se quedan en tu máquina. El sitio web (claulock.com) es una superficie aparte y usa analítica respetuosa de la privacidad; ver /es/privacy para el desglose completo.
¿El sitio web me trackea?
Plausible (anónimo, agregado, sin cookies) corre en cada página — no se necesita consentimiento porque no hay nada que ate una visita a ti. Google Analytics 4 solo carga después de que haces clic en Aceptar en el banner de consentimiento; haz clic en Rechazar (o activa Do Not Track) y gtag.js nunca se descarga. Divulgación completa en /es/privacy.
¿Cómo roto un secreto?
clsec rotate NAME — o pídele a Claude que lo rote y un cuadro de password fresco aparecerá en la TUI. El id del record y created_at se preservan para que la historia del audit-log quede correlacionada, y la DEK vieja se pone a cero.
¿Qué hace auto-lock?
Después de 15 minutos inactivo (ajustable), el daemon tira las DEKs desenvueltas de memoria. Las llamadas siguientes a Resolve devuelven Locked; la siguiente llamada de CLI o hook dispara un unlock respaldado por Keychain (prompt Touch ID si está configurado).

¿Falta algo? Escribe a [email protected] o abre un issue en GitHub.