能力标签

⚙️

Agent工作流

开源AI工作流：云原生零信任安全

基于 C · 无代码搭建完整 AI 自动化流程

英文名：kloak

⭐ 219 Stars 🍴 10 Forks 💻 C 📄 AGPL-3.0 🏷 AI 7.5分

7.5AI 综合评分

workflowbpfebpfkubernetessecretssecrets-managementc

⬇ 下载源码（GPL） ⚙️ 配置说明

✦ AI Skill Hub 推荐

开源AI工作流：云原生零信任安全是 AI Skill Hub 本期精选Agent工作流之一。综合评分 7.5 分，整体质量较高。我们推荐使用将其纳入你的 AI 工具库，帮助提升工作效率。

📚 深度解析

开源AI工作流：云原生零信任安全是一套完整的 AI Agent 自动化工作流方案。随着 AI 能力的不断提升，基于 Agent 的自动化工作流正在成为提升个人和团队效率的核心方式。区别于传统的 RPA 自动化（模拟鼠标键盘操作），AI Agent 工作流通过理解任务意图、动态规划执行路径，能够处理更复杂的非结构化任务。

开源AI工作流：云原生零信任安全工作流的设计遵循"最小配置，最大复用"原则：核心逻辑已经封装好，用户只需配置自己的 API Key 和业务参数即可快速上手。工作流内置错误处理和重试机制，在网络波动或 API 限速等情况下仍能稳定运行，适合作为生产环境的自动化基础设施。

在实际部署时，建议先在测试环境中运行 3-5 次，验证各个环节的输出结果符合预期，再部署到生产环境。AI Skill Hub 评分 7.5 分，是同类 Agent 工作流中的精选推荐。

📋 工具概览

云原生零信任安全，保护AI代理运行环境，实现安全可信赖的AI应用。

开源AI工作流：云原生零信任安全是一套完整的 AI Agent 自动化工作流方案。通过可视化的节点编排，将复杂的多步骤任务拆解为清晰的自动化流程，实现全程无人值守的智能处理。支持与数百种外部服务和 API 无缝集成，适合构建数据处理管线、业务自动化和 AI 辅助决策系统。

GitHub Stars

⭐ 219

开发语言

支持平台

Windows / macOS / Linux

维护状态

轻量级项目，按需更新

开源协议

AGPL-3.0

AI 综合评分

7.5 分

工具类型

Agent工作流

Forks

📖 中文文档

以下内容由 AI Skill Hub 根据项目信息自动整理，如需查看完整原始文档请访问底部「原始来源」。

云原生零信任安全，保护AI代理运行环境，实现安全可信赖的AI应用。

📌 核心特色

可视化 Agent 工作流编排，无需编写复杂代码
支持多步骤自动化任务链，实现全流程无人值守
与外部 API、数据库和第三方服务无缝集成
内置错误处理与自动重试机制，保障稳定运行
提供可复用的自动化模板，快速在同类场景部署

🎯 主要使用场景

自动化日常重复性工作，将精力集中于创造性任务
构建数据采集 → 处理 → 输出的完整自动化管线
实现跨平台、跨系统的数据流转和业务协同

以下安装命令基于项目开发语言和类型自动生成，实际以官方 README 为准。

安装命令

# 克隆仓库
git clone https://github.com/spinningfactory/kloak
cd kloak

# 查看安装说明
cat README.md

# 按 README 完成环境依赖安装后即可使用

📋 安装步骤说明

访问 GitHub 仓库获取工作流文件
在对应平台（Dify / Flowise / Make 等）中找到「导入工作流」功能
上传工作流文件
按照提示配置必要的环境变量和 API Key
运行测试确认流程正常后投入使用

以下用法示例由 AI Skill Hub 整理，涵盖最常见的使用场景。

常用命令 / 代码示例

# 查看帮助
kloak --help

# 基本运行
kloak [options] <input>

# 详细使用说明请查阅文档
# https://github.com/spinningfactory/kloak

以下配置示例基于典型使用场景生成，具体参数请参照官方文档调整。

配置示例

# kloak 配置说明
# 查看配置选项
kloak --config-example > config.yml

# 常见配置项
# output_dir: ./output
# log_level: info
# workers: 4

# 环境变量（覆盖配置文件）
export KLOAK_CONFIG="/path/to/config.yml"

📑 README 深度解析真实文档完整度 63/100 含工作流图查看 GitHub 原文 →

以下内容由系统直接从 GitHub README 解析整理，保留代码块、表格与列表结构。

简介

Kloak

Secure Your Secrets, Agentless Kubernetes eBPF HTTPS interceptor. Transparent secret injection without application changes or sidecars.

</div>

---

Kloak transparently intercepts outbound TLS traffic in Kubernetes using eBPF uprobes, replacing hashed placeholders with real secrets at the kernel level before encryption. Applications never handle actual credentials, and no sidecars or code changes are required.

Features

No code changes -- No SDK, no library, no application modifications. Mount a secret, make HTTPS requests, and Kloak handles the rest.
Secret isolation -- Applications only see hashed shadow values (kl::<UUID>). Real secrets exist solely in eBPF maps and are injected in-kernel at TLS write time.
Zero overhead -- eBPF uprobes operate in kernel space with negligible latency impact. No userspace proxy or sidecar in the data path.
Kubernetes native -- Works with standard Kubernetes Secrets. Enable with a single label.
Host and IP filtering -- Secrets annotated with getkloak.io/hosts are only sent to specific destination hostnames or IP addresses, preventing exfiltration to unauthorized servers.
Port-based filtering -- Secrets annotated with getkloak.io/port are restricted to connections on a specific destination port.
Broad runtime support -- Hooks into OpenSSL, BoringSSL, and Go's native crypto/tls. Works with Python, Node.js, Go, Rust, Ruby, PHP, curl, and any OpenSSL-linked runtime.

Prerequisites

Kubernetes cluster (1.28+) with Linux kernel 5.17+
Helm 3.12+
kubectl configured with cluster access

Install with Helm

helm repo add kloak https://chart.getkloak.io
helm repo update

helm install kloak kloak/kloak -n kloak-system --create-namespace

kubectl get pods -n kloak-system

Full demo: creates a Lima VM with K3s, deploys Kloak and sample apps

./examples/setup-demo.sh

export KUBECONFIG=/tmp/kloak-k3s.yaml

2. Deploy Your Application

The webhook automatically rewrites volume mounts to use the shadow secret. Your application sees only kl::<UUID> placeholders and never handles real credentials.

```

Quick Start

Try the Demo

```bash

Components

Component	Description
Controller (DaemonSet)	Watches Secrets labeled `getkloak.io/enabled=true`, creates shadow secrets with length-matched `kl::<UUID>` placeholders, syncs real values into eBPF maps, and attaches TLS uprobes to container processes via cgroup discovery.
Webhook (Deployment)	Mutating admission webhook that intercepts Pod creation. Rewrites Secret volume mounts to point to shadow secrets. Evaluates enablement through pod labels or namespace labels. Rejects pods if the shadow secret has not been created yet (fail-closed). Two webhook entries ensure only kloak-enabled namespaces and pods are affected; non-kloak workloads are never impacted, even when the webhook is down.
TLS Uprobes	Attach to `SSL_write` / `SSL_write_ex` (OpenSSL/BoringSSL) and `crypto/tls.(*Conn).Write` (Go native). Intercept outbound TLS writes, scan for `kl::` prefixes. Two rewrite paths: Phase 2 for plaintext rewrite (before encryption), and XOR path for ciphertext patching (after encryption).
XOR Path + TC Egress	For Go native TLS: computes XOR diff in the uprobe, bridges through `tcp_sendmsg` kprobe to TC egress, which patches the encrypted packet in-flight and recomputes the GHASH authentication tag via a tail call to `tc_ghash_update`.
DNS Kprobe	Kprobe/kretprobe on `udp_recvmsg` captures DNS responses system-wide. Parses A/AAAA records for watched hostnames and populates `dns_ip_map` (IP to hostname) with TTL tracking.
Connect/Close Tracepoints	Hooks `sys_enter/exit_connect` to track TCP connections (fd to destination IP in `conn_ip_map`). When the destination matches a DNS-verified hostname, caches the fd in `last_verified_fd`. Hooks `sys_enter_close` to clean up stale entries.
Process Tracepoints	Hooks `sched_process_exec` and `sched_process_exit` to track container process lifecycle for uprobe attachment and cleanup.