BlindKey: Blinde Anmeldeinformationen-Injektion für KI-Agenten

Wie BlindKey funktioniert

BlindKey adressiert das Sicherheitsrisiko, dass KI-Agenten mit Klartext-API-Zugangsdaten umgehen. Anstatt Agenten direkten Zugriff auf Geheimnisse zu geben, verwendet es ein System, bei dem Agenten auf verschlüsselte Vault-Token verweisen (z.B. bk://stripe). Ein lokaler Proxy fängt diese Verweise ab und injiziert die tatsächliche Zugangsdaten genau in dem Moment, in dem die API-Anfrage gestellt wird. Der Agentenprozess sieht oder speichert das Klartext-Geheimnis niemals.

Sicherheitsfunktionen

• AES-256-GCM-Verschlüsselung für ruhende Daten
• Domain-Allowlisting pro Geheimnis (z.B. ein Stripe-Schlüssel kann nur mit api.stripe.com verwendet werden)
• Standardmäßig verweigernde Dateisystem-Tore
• Inhaltsüberprüfung bei Agenten-Schreibvorgängen, um versehentlich preisgegebene Zugangsdaten oder PII zu erkennen
• Manipulationserkennbares Audit-Protokoll mit kryptografischer Hash-Kette

Bedrohungsmodell und Angriffsfläche

Die Hauptschwachstelle, die identifiziert wurde, besteht darin, wenn ein Agent den eigenen Prozessspeicher oder die Vault-Datei von BlindKey lesen kann, was den Schutz der blinden Injektion umgehen würde. Aktuelle Gegenmaßnahmen umfassen SQLite-Verschlüsselung und betriebssystemseitige Dateiberechtigungen. Die Quelle schlägt vor, dass Kernel-Level-Sandboxing (wie der Ansatz von nono) einen stärkeren Schutz bieten würde.

Das Tool ist auf GitHub verfügbar unter github.com/michaelkenealy/blindkey.