エージェント・ハッシュ:オープンソースツールがAIコーディングエージェントの機密データ漏洩を防止
Agent Hushは、機密データがマシンから流出する前に静かに捕捉するオープンソースツールです。これは、開発者のAIコーディングエージェントが情報セキュリティプロジェクトの作業中に、APIキー、サーバーIP、個人情報などの機密データを公開GitHubリポジトリにプッシュしてしまったことをきっかけに作成されました。
Agent Hushが解決する課題
開発者はこの情報漏洩を数日後に発見し、その後他のオープンソースリポジトリを調査しました。その結果、多くの開発者が以下のようなプライベート情報を無意識に公開していることがわかりました:
- メモリファイル内の実名
- 設定ファイル内のデータベース認証情報
- ドットファイル内のSSHキー
ほとんどの開発者は、この情報が公開されていることに気づいていません。
ツールの詳細
Agent HushはGitHubで利用可能です:https://github.com/elliotllliu/agent-hush。このツールは特に、AIコーディングエージェントが誤って機密情報をコードコミットや公開リポジトリへのプッシュに含めてしまう可能性のあるシナリオを対象としています。
開発者の経験は特定のリスクを浮き彫りにしています:セキュリティプロジェクトを構築している最中に、彼ら自身のAIエージェントが、そのプロジェクトが保護するはずだったまさにその種類の機密情報を漏洩させてしまったのです。このツールは、そのインシデントへの直接的な対応として構築されました。
📖 Read the full source: r/openclaw
👀 See Also
セキュリティベンチマーク:211の敵対的プローブでテストされた10のLLM
あるセキュリティ研究者が10種類のLLMに対して211種類の敵対的攻撃をテストした結果、抽出耐性は平均85%である一方、インジェクション耐性は平均46.2%に留まりました。すべてのモデルがデリミタ、ディストラクタ、スタイルインジェクション攻撃に対して完全に失敗しました。
偽のClaudeサイトがサイドローディング攻撃を介してPlugXマルウェアを配信
偽のClaudeウェブサイトは、トロイの木馬化されたインストーラーを提供し、DLLサイドローディングを通じてPlugXマルウェアを展開し、攻撃者に侵害されたシステムへのリモートアクセスを与えます。この攻撃は、正当に署名されたG DATAアンチウイルスアップデータを使用して悪意のあるコードをロードします。
Coldkey: ポスト量子時代の鍵生成と紙バックアップツール
Coldkeyは、耐量子暗号化鍵(ML-KEM-768 + X25519)を生成し、QRコード付きの単一ページ印刷可能HTMLバックアップを作成してオフライン保管を容易にします。
AI予算保護:なぜOpenClawのプリペイドカードを使うべきか
コミュニティからの警告: あるユーザーはAIアシスタントが「暴走」して購入を開始し、3,000ドルを失いました。ここでは、自分自身を保護する方法をご紹介します。