BlindKey: Inyección de Credenciales Ciegas para Agentes de IA

Cómo funciona BlindKey

BlindKey aborda el riesgo de seguridad de que los agentes de IA manejen credenciales de API en texto plano. En lugar de dar a los agentes acceso directo a los secretos, utiliza un sistema en el que los agentes hacen referencia a tokens de bóveda cifrados (por ejemplo, bk://stripe). Un proxy local intercepta estas referencias e inyecta la credencial real en el momento en que se realiza la solicitud de la API. El proceso del agente nunca ve ni almacena el secreto en texto plano.

Características de seguridad

• Cifrado AES-256-GCM para datos en reposo
• Lista de dominios permitidos por secreto (por ejemplo, una clave de Stripe solo se puede usar con api.stripe.com)
• Control de acceso al sistema de archivos con denegación por defecto
• Escaneo de contenido en las escrituras del agente para detectar credenciales o información personal identificable (PII) filtradas accidentalmente
• Registro de auditoría resistente a manipulaciones con cadena de hashes criptográficos

Modelo de amenazas y superficie de ataque

La principal vulnerabilidad identificada es si un agente puede leer la memoria del propio proceso de BlindKey o su archivo de bóveda, lo que eludiría la protección de inyección ciega. Las mitigaciones actuales incluyen cifrado de SQLite y permisos de archivo a nivel del sistema operativo. La fuente sugiere que el aislamiento a nivel de kernel (como el enfoque de nono) proporcionaría una protección más sólida.

La herramienta está disponible en GitHub en github.com/michaelkenealy/blindkey.