CLI & Agenten-Tools
Installieren und anmelden
Die CLI authentifiziert sich per Browser, Paste-Flow oder vorab generiertem Token.
curl -fsSL https://outgate.ai/download/install.sh | sh
og login
og status- Der Browser-Login startet einen Loopback-Listener und öffnet die Console-Zustimmungsseite.
- Nutzen Sie og login --no-browser auf SSH-Hosts, in Containern oder auf Maschinen, auf denen der Browser nicht zur CLI zurückrufen kann.
- Nutzen Sie og login --token-file /run/secrets/og-token für CI und Skripte. Token-Files sind --token vorzuziehen, weil Kommandozeilen-Argumente in Prozesslisten erscheinen können.
Claude Code und Codex kapseln
og legt einen Provider-Share an oder verwendet einen vorhandenen und startet das Tool mit Gateway-Routing.
og claude
og claude --provider "Anthropic"
og claude --auth-mode env -p "explain this error"
og codex
og codex --provider "OpenAI"Wenn kein Provider gepinnt ist, bevorzugt die CLI zuerst Router, dann direkte Provider, die zum gekapselten Tool passen. Interaktive Sessions können bei mehreren Treffern nachfragen; nicht-interaktive Aufrufe verlangen einen gepinnten Provider.
Codex-Routing-Detail
Codex ignoriert OPENAI_BASE_URL für seinen eingebauten OpenAI-Provider. Deshalb legt og codex unter ~/.codex/og ein synthetisches CODEX_HOME mit einem outgate-Modell-Provider an, der auf das Gateway zeigt. Codex-Sessions und Auth bleiben so nutzbar, während der Traffic durch Outgate läuft.
Flag-Referenz
Alle Flags der og CLI mit Verhalten und Default-Wert.
Als „(passthrough)“ markierte Flags werden auch von og claude und og codex akzeptiert und vor dem Start des unterliegenden Tools aus den Argumenten entfernt.
| Flag | Befehl | Default | Zweck |
|---|---|---|---|
| --provider <name-or-id> | env, claude, codex, scan (passthrough) | "" (auto-resolve: Router zuerst, dann direkte Provider passend zum Tool) | Bestimmten Provider oder Router festlegen. Name oder prv-/rtr-ID. |
| --name <project> | env, claude, codex (passthrough) | Basename des aktuellen Verzeichnisses | Eigener Projekt-/Share-Name. Gruppiert Requests in der Console. |
| --auth-mode <url|env> | env, claude, codex (passthrough) | url | "url" bettet den Share-Key als /_k/<key> in die Base-URL ein; "env" setzt stattdessen die API-Key-Env-Var des Tools (z. B. ANTHROPIC_API_KEY). Claude im Non-Interactive-Mode (-p) verlangt "env". |
| --no-browser | login | false | Keinen Browser für OAuth öffnen. Gibt URL + Code zur manuellen Eingabe aus — nötig auf SSH-Hosts, Containern, Headless-CI. |
| --token <jwt> | login | "" | Vorhandenes CLI-Token verwenden. In ps sichtbar; für alles außer schnellen Smoke-Tests --token-file vorziehen. |
| --token-file <path> | login | "" | Vorhandenes CLI-Token aus Datei lesen. Empfohlen für CI und Skripte. |
| --client <claude|codex> | mcp-search install | "" (erforderlich) | Ziel-CLI für das MCP-Web-Search-Stanza. |
| --uninstall | mcp-search install | false | Entfernt das og-web-search-Stanza, statt es zu schreiben. |
| --category <name> | vault add | credentials | Erkennungs-Kategorie. Eine von credentials, personal_information, sensitive_data. |
| --category <name> | vault list | "" (kein Filter) | Vault-Einträge nach Kategorie filtern. |
| --source <name> | vault list | "" (kein Filter) | Nach Quelle filtern: auto-detect, kv-scan, manual. |
| --tag <label> | vault add / vault rm | "" | Bei add: optionales Label (max. 200 Zeichen). Bei rm: löscht alle Einträge, deren Tag diesen Substring enthält. |
| --project <path> | scan | aktuelles Verzeichnis | Zu scannendes Verzeichnis. |
| --help, -h | alle | — | Hilfe zum Subcommand. og --help listet alle Subcommands. |
Tool-eigene Flags werden durchgereicht
Jedes Flag, das og nicht erkennt, wird unverändert ans Tool weitergegeben. og claude --model claude-3-5-sonnet erreicht Claude Code z. B. unverändert; nur --provider, --name und --auth-mode werden von og selbst konsumiert.
Auflösen der Konfiguration
Flags gewinnen, dann Projekt-Config, Umgebungsvariablen, globale Config und Defaults.
| Priorität | Ebene | Beispiele |
|---|---|---|
| 1 | CLI-Flags | --provider, --name, --auth-mode |
| 2 | .og.yaml | provider, project, share, region, gateway_url, auth_mode, scan |
| 3 | Umgebungsvariablen | OG_PROVIDER, OG_REGION, OG_GATEWAY_URL, OG_AUTH_MODE |
| 4 | ~/.og/config.json | api_base, console_url, aktive Region |
| 5 | Build-Defaults | Standard-Console- und API-URLs, fest in die Binary kompiliert |
Implementierungs-Check
Diese Reihenfolge entspricht internal/config/resolve.go: Globale Defaults werden zuerst geladen, env überschreibt globale Config, .og.yaml überschreibt env, und Flags überschreiben alles.
.og.yaml — Projekt-Konfiguration
Legen Sie .og.yaml im Repo-Root oder einem übergeordneten Verzeichnis ab; die CLI sucht vom aktuellen Verzeichnis aus aufwärts.
provider: "Anthropic"
project: "my-app"
share: "shr-abc123"
region: "reg-abc123"
api_base: "https://console.outgate.ai/api"
gateway_url: "http://localhost:8000"
auth_mode: url
env:
ANTHROPIC_API_KEY: "sk-ant-og-managed"
scan:
max_context_tokens: 128000
context_margin: 0.2
overlap_lines: 50
extensions: [".ts", ".js", ".py", ".yaml", ".json", ".env"]
exclude_dirs: ["node_modules", "dist", ".terraform"]
exclude_files: ["*.min.js", "*.map", "package-lock.json"]
max_file_size: 2097152auth_mode url bettet den Gateway-Share-Key als /_k/{key} in die Basis-URL ein. auth_mode env setzt ANTHROPIC_API_KEY oder OPENAI_API_KEY für Tools, die einen Key in der Umgebung erwarten, bevor sie starten.
Umgebungsvariablen
Mit OG_*-Variablen steuern Sie og selbst; Tool-Variablen werden an Claude oder Codex weitergegeben.
| Variable | Genutzt von | Default | Zweck |
|---|---|---|---|
| OG_API_BASE | og | https://console.outgate.ai/api | Basis-URL der Console-API. |
| OG_CONSOLE_URL | og | https://console.outgate.ai | Console-URL für Auth- und Account-Links. |
| OG_PROVIDER | og | "" (auto-resolve) | Standard-Provider-Name oder -ID. |
| OG_PROJECT | og | Basename des aktuellen Verzeichnisses | Standard-Projekt- oder Share-Name. |
| OG_SHARE | og | "" | Bestehenden Share per ID oder Name pinnen. Umgeht die Share-Namens-Auflösung. |
| OG_REGION | og | aktive Region aus ~/.og/config.json | Standard-ID der aktiven Region. |
| OG_GATEWAY_URL | og | "" (Share-Endpoint verwenden) | Direkte Gateway-URL für lokale oder private Regionen. Pfad-only-Werte wie /abc123 bekommen die Gateway-Origin der Region vorangestellt. |
| OG_AUTH_MODE | og | url | "url" oder "env" — gleiche Semantik wie --auth-mode. |
| OPENAI_BASE_URL, OPENAI_API_KEY | Codex/OpenAI-kompatible Tools | wird von og beim Start gesetzt | Tool-seitige Basis-URL und Credential. Vorhandene Werte in der Host-Shell werden von og codex überschrieben. |
| ANTHROPIC_BASE_URL, ANTHROPIC_API_KEY | Claude Code | wird von og beim Start gesetzt | Tool-seitige Basis-URL und Credential. |
| CODEX_HOME | Codex | ~/.codex/og (synthetisch, on demand erstellt) | Konfigurationsverzeichnis, das og codex nutzt, damit Gateway-Routing nicht das echte ~/.codex überschreibt. |
Web-Suche für Claude Code und Codex
Installieren Sie og als MCP-Web-Search-Provider für Ihre lokalen CLI-Tools.
og mcp-search startet einen Stdio-MCP-Server, der ein web_search-Tool für Claude Code und die Codex-CLI bereitstellt. Nach der Installation können Ihre lokalen Tools den Suchendpunkt des Gateways ohne zusätzliche Konfiguration aufrufen.
og mcp-search install --client claude
og mcp-search install --client codexJede Installation fügt einen Eintrag in die jeweilige Client-Konfiguration ein. Der Eintrag enthält die Gateway-Basis-URL und die aus Ihrer aktuellen og-Sitzung aufgelösten Anmeldedaten, sodass der MCP-Server dieselbe Share verwendet wie der Rest von og.
| Client | Konfigurationsdatei | Eintragsschlüssel |
|---|---|---|
| Claude Code | ~/.claude.json | mcpServers.og-web-search |
| Codex CLI | ~/.codex/config.toml | [mcp_servers.og-web-search] |
Erneutes Ausführen von install überschreibt den Eintrag — nach dem Rotieren von Anmeldedaten oder einem Projektwechsel ist das also unbedenklich. Mit --uninstall wird der Eintrag wieder entfernt.
Scan und Detection Vault
Nutzen Sie Guardrails im Dry-Run-Modus, um sensible Werte zu finden, bevor sie produktiven Traffic erreichen.
og scan --provider "Local Ollama"
og scan --provider my-provider --project /path/to/project
og vault add "sk-ant-abc123def456" --category credentials --tag staging
og vault list --category credentials
og vault rm --tag stagingog scan schickt Dateien durch den ausgewählten guardrail-fähigen Provider mit Dry-Run-Headern. Die Anfrage erreicht das Upstream-Modell nicht; Treffer werden als Fingerabdrücke im Detection Vault für künftige Übereinstimmungen gespeichert.