openclaw-credential-vault traite quatre voies de fuite d'identifiants dans les agents IA

openclaw-credential-vault est un outil de sécurité qui traite les risques d'exposition des identifiants dans les configurations d'agents IA OpenClaw. L'outil met en œuvre trois couches de défense contre quatre voies de fuite d'identifiants identifiées.

Quatre voies d'exposition des identifiants

La source identifie ces menaces principales :

• Accès direct aux fichiers/env : Les agents exécutant des commandes comme cat ~/.env ou echo $GITHUB_TOKEN peuvent exposer les identifiants stockés dans les variables d'environnement ou les fichiers de configuration.
• Fuite par la fenêtre de contexte : La sortie d'un outil contenant des jetons ou des en-têtes d'authentification devient définitivement stockée dans l'historique de la conversation.
• Exfiltration par injection d'invite : Des instructions malveillantes peuvent tromper les agents pour qu'ils transmettent les identifiants auxquels ils ont accès.
• Attaques de la chaîne d'approvisionnement : Des compétences ClawHub malveillantes exécutant du code arbitraire avec les permissions de l'agent.

L'idée clé : les trois premières voies dépendent de la visibilité des identifiants pour le processus de l'agent. Supprimer cette visibilité élimine 75 % de la surface d'attaque.

Fonctionnement de openclaw-credential-vault

L'outil fournit trois couches de défense :

Isolation au niveau du système d'exploitation

Un utilisateur système dédié possède les fichiers de coffre-fort chiffrés, avec des permissions de système de fichiers appliquées par le noyau. Le processus de l'agent ne peut pas accéder à ces fichiers au niveau du système de fichiers.

Injection limitée aux sous-processus

Les identifiants sont déchiffrés par un binaire résolveur en bac à sable et injectés uniquement dans des environnements de sous-processus spécifiques. Par exemple, un GITHUB_TOKEN n'existe qu'à l'intérieur du processus gh et disparaît lorsque ce sous-processus se termine. Le processus propre de l'agent ne voit jamais les identifiants en clair.

Nettoyage de sortie à 4 crochets

Avant que la sortie de l'outil n'atteigne l'agent, quatre couches indépendantes recherchent les fuites :

• Correspondance de motifs par expressions régulières pour les formats connus comme ghp_ et sk_live_
• Correspondance littérale basée sur le hachage contre les identifiants stockés exacts
• Correspondance des noms de variables d'environnement
• Détection globale des formats connus

Implémentation technique

• Chiffrement : AES-256-GCM avec des sels aléatoires par identifiant
• Dérivation de clé : Argon2id avec un coût mémoire de 64 MiB, 3 itérations
• Compatibilité : Fonctionne avec n'importe quel outil CLI ou API, y compris la connexion au navigateur ou les cookies de session
• Support BYOT (Apportez vos propres outils)
• Couverture des tests : ~700 tests sur 36 fichiers
• Open source

Configuration et utilisation

Installation : npm install -g openclaw-credential-vault

Configuration de base : openclaw vault add github --key ghp_xxx

L'outil traite les limitations de SecretRefs (v2026.3.2), qui gère les secrets au niveau de la configuration mais manque de séparation au niveau du système d'exploitation et ne couvre que les propres clés de configuration d'OpenClaw, pas les outils arbitraires comme gh ou l'interface CLI stripe.