BlindKey : Injection d'Informations d'Identification Aveugle pour les Agents IA

Fonctionnement de BlindKey

BlindKey répond au risque de sécurité lié à la manipulation des identifiants API en texte clair par les agents d'IA. Au lieu de donner aux agents un accès direct aux secrets, il utilise un système où les agents font référence à des jetons de coffre-fort chiffrés (par exemple, bk://stripe). Un proxy local intercepte ces références et injecte l'identifiant réel au moment où la requête API est effectuée. Le processus de l'agent ne voit ni ne stocke jamais le secret en texte clair.

Fonctionnalités de sécurité

• Chiffrement AES-256-GCM pour les données au repos
• Liste blanche de domaines par secret (par exemple, une clé Stripe ne peut être utilisée qu'avec api.stripe.com)
• Verrouillage du système de fichiers par refus par défaut
• Analyse de contenu sur les écritures de l'agent pour détecter les identifiants ou données personnelles divulgués accidentellement
• Journal d'audit résistant à la falsification avec chaîne de hachage cryptographique

Modèle de menace et surface d'attaque

La principale vulnérabilité identifiée est si un agent peut lire la mémoire du processus de BlindKey lui-même ou le fichier du coffre-fort, ce qui contournerait la protection d'injection aveugle. Les mesures d'atténuation actuelles incluent le chiffrement SQLite et les permissions de fichiers au niveau du système d'exploitation. La source suggère qu'un sandboxing au niveau du noyau (comme l'approche de nono) offrirait une protection plus forte.

L'outil est disponible sur GitHub à github.com/michaelkenealy/blindkey.