AgentPort

TL;DR

• AgentPort — это open-source (MIT) шлюз/прокси между AI-агентами (Claude Code, Codex, Cursor, OpenClaw и т. п.) и внешними сервисами (Stripe, Gmail, GitHub, PostHog, Linear и ещё ~50 интеграций), который держит у себя зашифрованные API-ключи и навешивает на каждый tool-call политику: «авто-разрешить», «спросить подтверждение» или «запретить».
• Проект появился публично через Show HN в конце апреля — начале мая 2026 года; автор — Yakko Majuri (ex-PostHog), компания-разработчик — Skald Labs, Inc. (San Francisco), репозиторий yakkomajuri/agentport, доступны Cloud (app.agentport.sh) и self-host (Docker Compose / one-liner installer).
• Подключение агента идёт через MCP-сервер (https://app.agentport.sh/mcp) или CLI (npm install -g agentport-cli); ключевые отличия от Composio/Arcade/Pipedream — упор не на breadth каталога, а на гранулярные политики одобрения отдельных tool-вызовов и полный аудит-лог с IP, параметрами и таймстемпами.

Key Findings

Что это. AgentPort позиционируется как «secure gateway to connect your agents to any service with granular permissions» (формулировка из README). По описанию с сайта и репозитория, продукт решает три связанные задачи:

1. Управление секретами. Креды (OAuth-токены, API-ключи) лежат зашифрованными внутри AgentPort; агент к ним не имеет доступа и обращается к downstream-сервисам через шлюз. Цитата из Show HN: «Your agent never sees API keys».
2. Approval policies на уровне отдельных инструментов. Для каждого tool в каждой интеграции выставляется один из трёх режимов: Auto-approve, Ask for approval, Deny. В режиме Ask for approval агент при попытке вызвать инструмент получает обратно ссылку, по которой залогиненный человек одобряет конкретный вызов с конкретными параметрами — нельзя одобрить create_refund в общем виде, можно только с фиксированными customerId и amount.
3. Аудит. Каждый tool-call логируется: параметры, IP инициатора, IP одобрившего, агент, таймстемп. Это даёт compliance-trail и реальную видимость, что делает агент.

Архитектура. Из репозитория: основные части — server (Python, ~64% кода), cli и ui (TypeScript), docs, Caddy, Dockerfile, fly.toml. Деплой self-host: docker compose up локально или curl -fsSL https://install.agentport.sh | sh для прод-инстанса с TLS. Cloud — app.agentport.sh. Лицензия MIT.

Интеграции. В README заявлено «50 integrations out of the box»: Stripe, PostHog, GitHub, Gmail, Google Calendar и другие. Полного списка нет в публично проиндексированных страницах, но в материалах сайта упоминаются также Slack, Notion, Linear, Supabase, Cloudflare, Sentry, HubSpot, Figma, Vercel, Datadog, Shopify, Plaid, Twilio, Asana, Dropbox, Airtable.

Подключение агентов. Два канала:

• MCP-сервер: https://app.agentport.sh/mcp (или https://<your-domain>/mcp при self-host). Это работает с любым MCP-совместимым клиентом — Claude Code, Cursor, Windsurf, Codex CLI с MCP-плагином, OpenClaw и т. д.
• CLI: npm install -g agentport-cli — отдельный npm-пакет для агентов, которые хотят прямой interface.

Дополнительно есть AgentPort Skills — отдельный репозиторий yakkomajuri/agentport-skills, устанавливается командой npx skills add yakkomajuri/agentport-skills. Это стандартные Agent Skills (формат SKILL.md с YAML frontmatter, оригинально продвинутый Anthropic для Claude Code/Skills и поддержанный Cursor, Codex, OpenClaw и пр.). Назначение скиллов — подсказать агенту, как корректно работать с шлюзом, обрабатывать ответы вида «нужно одобрение» и т. п.

Команда и контекст. Автор — Yakko Majuri (Belo Horizonte, Бразилия; ex-engineer в PostHog, сейчас строит Skald — open-source RAG-платформу с MIT-лицензией под Skald Labs). AgentPort юридически разработан под Skald Labs, Inc. Это объясняет, почему PostHog входит в список первых интеграций (сам автор хорошо знаком с этим API).

Запуск и трекшен. Show HN-пост «Show HN: Integrations gateway for agents with 2FA for destructive ops (OSS)» опубликован самим Yakko на Hacker News в самом конце апреля — начале мая 2026 (HN item 47935098, незадолго до дедлайна YC Summer 2026). На момент сбора данных трекшен на HN/Reddit/X минимальный — проект совсем свежий. Автор прямо ссылается на свой блог-пост «On agents dropping production databases» как на мотивацию: «I’ve been wanting to use something like OpenClaw for a while but couldn’t get myself to give it access to anything important due to all the risks involved».

Details

Для чего это нужно

Типичные сценарии, к которым подталкивают сайт и Show HN:

• Personal AI assistant с настоящим действием. Дать OpenClaw / Claude Code доступ к Gmail (search_emails — auto-approve, send_email — ask for approval), Calendar, GitHub, Stripe — так, чтобы агент мог автономно собирать контекст и предлагать действия, но критические операции уходили на быстрый one-click human approval (например, в Telegram/Slack-канал, к которому подключён OpenClaw).
• Coding agent с production-доступом. Дать Claude Code/Codex/Cursor доступ к Linear, Sentry, GitHub, Cloudflare и т. п., но потребовать ручного одобрения для деструктивных операций (delete repo, rotate secrets, deploy production). Это закрывает классический паттерн «I deleted the prod database» — на который автор прямо ссылается.
• Multi-agent setup на одной команде. Команда поднимает self-hosted AgentPort, заводит туда корпоративные интеграции один раз, и любой агент (внутренний CrewAI, OpenClaw на Mac mini у CEO, Claude Code у инженеров) подключается к одному MCP-эндпоинту с разными политиками.
• Compliance-trail. Все tool-calls логируются с метаданными — это даёт первый кирпичик аудита для команд, которым нужно отвечать на вопрос «что именно агент сделал в production за прошлую неделю».

Какую проблему решает

Рынок tool-calling для агентов сейчас зажат между двумя крайностями:

1. All-or-nothing access. Когда вы даёте агенту OAuth-токен Gmail или Stripe Secret Key, вы либо разрешаете ему вообще всё в этом сервисе, либо ничего. Прецеденты с production-БД, удалёнными PR, отправленными вместо черновика письмами и create_refund без подтверждения — прямое следствие.
2. Prompt injection и hallucination не лечатся на стороне модели. Безопасность приходится строить вне модели — через внешний control plane.

AgentPort встаёт ровно сюда: внешний gateway, который держит секреты, инспектирует параметры каждого вызова и пропускает «опасные» через human approval. Автор сам формулирует философию: «By adding a security layer, our goal is to enable you to give your agents more power».

В терминах MCP-экосистемы это MCP gateway в категории «security/HITL» (рядом с Cordon, Peta.io, Lasso, MCP Manager, Microsoft agent-governance-toolkit, Preloop), а не в категории «catalog» (Composio, Arcade, Pipedream Connect, Nango, Merge Agent Handler), хотя ~50 встроенных интеграций сдвигают его и в catalog-сторону тоже.

Кому может быть полезно

• Solo-разработчики и продвинутые юзеры с personal AI assistants на базе OpenClaw / Claude Code на Mac mini / VPS. Сценарий — агент 24/7 на Telegram/WhatsApp/Discord, с реальным доступом к почте/календарю/банкингу/Stripe.
• Маленькие команды, гоняющие autonomous coding agents в production-репозиториях. Claude Code на CI, Codex CLI с заданием на ночь, Cursor Background Agents — везде есть риск, что агент пойдёт в Linear/Sentry/Cloudflare и что-то сломает.
• Команды, которые строят agentic workflows на LangGraph/CrewAI/Mastra/AutoGen и хотят централизованно обращаться к внешним SaaS — без самостоятельной реализации secrets vault, OAuth refresh и approval-flow.
• Privacy-чувствительные команды, которым важен self-host: AgentPort можно поднять у себя в инфре одним shell-installer, и креды не покидают периметр.

Менее подходит: крупные enterprise с требованиями RBAC, SSO/SAML, SOC 2, частными тенантами, мульти-окружениями — это явно территория Composio Universal MCP Gateway, MCP Manager, TrueFoundry, Workato Enterprise MCP.

Чем отличается от близких подходов

Ещё один важный нюанс: AgentPort кладёт лог tool-call’ов с параметрами и IP-метаданными. Это автоматически даёт нечто близкое к «forensic audit» — то, чего нет в большинстве легковесных MCP-серверов.

Recommendations

Для опытного fullstack-разработчика, рассматривающего AgentPort прямо сейчас:

1. Если вы уже эксплуатируете OpenClaw / Claude Code / Codex с реальным доступом к Stripe/Gmail/банковскому API — поднимите AgentPort локально (docker compose up) на выходных и переведите хотя бы одну «опасную» интеграцию через него.
2. Если у вас команда и multi-agent setup — стоит сравнить self-hosted AgentPort и Composio MCP Gateway на конкретной матрице (нужны ли вам RBAC/SSO/SOC 2/SAML — Composio; нужны ли open-source, гранулярные approval-policies на параметры конкретного вызова и аудит из коробки — AgentPort).
3. Если у вас регулируемая отрасль (финансы, здравоохранение, госсектор) — AgentPort на текущей стадии (v0, MIT, маленький репо) не закрывает compliance-требования сам по себе. Берите его как один из layers, но дополняйте PII-redaction, SIEM-экспортом, формальной policy-системой.
4. Триггеры пересмотра решения: появление в проекте SSO/SAML, RBAC, SOC 2, OpenTelemetry-экспорта, поддержки policy-as-code, значительный рост репозитория (>1k stars, активные внешние контрибьюторы).

Caveats

• На момент сбора данных (май 2026) репозиторий yakkomajuri/agentport имеет очень небольшой публичный трекшен (порядка десятка звёзд, 0 релизов, ~29 коммитов). Это очень ранняя стадия проекта; ничего из заявленного в README пока не подкреплено независимыми пользовательскими отзывами.
• Содержимое страницы /pricing и app.agentport.sh на момент исследования не удалось получить; конкретные тарифы Cloud-плана, лимиты free tier и SLA в открытых источниках не подтверждены.
• В нише есть минимум два других продукта с похожим именем — agentport.dev (отдельный MCP-IaaS вокруг Shopify, не Yakko) и AgentPort от VacationPort. Они никак не связаны с проектом по адресу agentport.sh.
• Безопасность сама по себе не решена. AgentPort снимает класс рисков «агент сам слил ключ» и «агент дёрнул destructive endpoint без подтверждения», но не закрывает prompt-injection в самих инструментах и не защищает от ошибок самого approving человека.