Jusqu'ici, connecter un agent à Stripe, SendGrid, OpenAI ou à un webhook interne passait souvent par un geste peu satisfaisant : coller une clé API ou un mot de passe directement dans le chat. C'était rapide, mais pas idéal. Une donnée sensible pouvait se retrouver dans l'historique de conversation, être recopiée à la main, ou simplement devenir difficile à maintenir dès qu'un fondateur voulait faire évoluer sa stack. Avec Secrets, NanoCorp introduit une réponse simple à ce problème : un espace dédié pour stocker de façon sécurisée les informations sensibles dont les agents ont besoin pour travailler.
Un coffre-fort pensé pour les opérations du quotidien
Secrets se trouve dans Company Settings, dans une section dédiée. L'idée est directe : donner à l'entreprise un endroit unique où enregistrer ses éléments sensibles, puis les rendre disponibles automatiquement aux agents sur chaque nouvelle tâche. Plus besoin de re-partager la même clé Stripe, le même token SendGrid ou la même URL de webhook à chaque mission. Pour un fondateur, le bénéfice est double : moins de friction au moment de lancer une tâche, et un cadre beaucoup plus propre pour sécuriser les accès utilisés par l'agent.
Le périmètre est volontairement large. Vous pouvez y stocker des clés API comme STRIPE_API_KEY, SENDGRID_API_KEY ou OPENAI_API_KEY, mais aussi des mots de passe d'outils tiers, un identifiant Google Sheet, une webhook URL, ou encore un feature flag nécessaire à un workflow interne. Autrement dit, Secrets ne sert pas seulement à l'IA : il sert à tout ce que vos agents doivent utiliser sans que vous ayez à exposer la valeur dans la conversation.
Comment l'ajout d'un secret fonctionne concrètement
L'ajout suit une logique simple en six temps : ouvrir Company Settings, entrer dans la section Secrets, cliquer pour créer un nouveau secret, renseigner la clé, coller la valeur, puis ajouter si besoin une description utile avant d'enregistrer. Cette description n'est pas obligatoire, mais elle devient vite précieuse dès qu'une entreprise stocke plusieurs accès proches les uns des autres. Un libellé comme « Clé Stripe de production pour les remboursements » ou « Webhook Zapier pour les leads entrants » aide l'agent à choisir le bon secret sans ambiguïté.
NanoCorp impose aussi un format clair pour les clés : uniquement des lettres majuscules, des chiffres et des underscores, avec une première lettre obligatoire et une limite de 64 caractères. La valeur elle-même peut aller jusqu'à 32 Ko, ce qui laisse de la marge pour des tokens, des fichiers de configuration ou des payloads techniques plus longs. Chaque entreprise peut enregistrer jusqu'à 50 secrets, ce qui couvre déjà largement la plupart des stacks de démarrage tout en gardant un cadre lisible.
Des agents qui choisissent automatiquement le bon secret
Le point le plus intéressant n'est pas seulement le stockage, mais l'usage. À chaque nouvelle tâche, les secrets de l'entreprise sont automatiquement disponibles pour les agents. Ceux-ci ne lisent pas la valeur brute dans un historique de chat : ils s'appuient sur la clé et sur la description pour déterminer quel secret utiliser au bon moment. Si une mission demande d'envoyer un email transactionnel, l'agent peut repérer SENDGRID_API_KEY. Si elle doit appeler OpenAI ou déclencher un webhook métier, il peut retrouver la bonne entrée sans intervention manuelle du fondateur.
Cette logique apporte un vrai gain de fluidité. Une fois le coffre-fort configuré, les tâches deviennent plus simples à lancer, notamment pour les profils non techniques qui ne veulent pas gérer des copier-coller sensibles à chaque étape. Elle réduit aussi les erreurs liées aux mauvaises versions de clé ou aux oublis de variables, parce que l'agent travaille avec un inventaire propre, centralisé et décrit.
Sécurité, transparence et limites à connaître
Sur le plan de la sécurité, NanoCorp indique que les secrets sont chiffrés au repos et uniquement déchiffrés dans le sandbox de l'entreprise. Les valeurs ne sont jamais réaffichées après sauvegarde : le système fonctionne en write-once. Si vous voulez modifier un secret, il faut supprimer l'ancien puis recréer une entrée avec la même clé. Cette contrainte peut sembler stricte, mais elle renforce la logique de coffre-fort : une fois la donnée enregistrée, elle n'est plus exposée visuellement dans l'interface.
L'activité est journalisée, avec la clé concernée et l'auteur de l'action, mais jamais la valeur. Cette traçabilité est utile pour comprendre qui a ajouté ou supprimé un accès sensible. Il faut toutefois garder un point de vigilance en tête : les collaborateurs GitHub de l'entreprise ont accès aux secrets au runtime. En pratique, cela signifie qu'il faut inviter uniquement des personnes de confiance quand on ouvre l'accès code. Enfin, la limite de 50 secrets par entreprise reste bonne à connaître dès le départ pour organiser proprement ses entrées les plus importantes.
Pour les fondateurs, Secrets est une amélioration très concrète : moins de manipulation manuelle, moins de risque de fuite dans le chat, et des agents plus autonomes dès la première tâche. Si vous utilisez déjà Stripe, SendGrid, OpenAI ou des webhooks internes dans vos workflows, le réflexe à prendre est simple : ouvrez Company Settings, allez dans Secrets, et commencez à sécuriser dès maintenant les accès que vos agents utilisent le plus.