エージェント・ハッシュ:オープンソースツールがAIコーディングエージェントの機密データ漏洩を防止

Agent Hushは、機密データがマシンから流出する前に静かに捕捉するオープンソースツールです。これは、開発者のAIコーディングエージェントが情報セキュリティプロジェクトの作業中に、APIキー、サーバーIP、個人情報などの機密データを公開GitHubリポジトリにプッシュしてしまったことをきっかけに作成されました。
Agent Hushが解決する課題
開発者はこの情報漏洩を数日後に発見し、その後他のオープンソースリポジトリを調査しました。その結果、多くの開発者が以下のようなプライベート情報を無意識に公開していることがわかりました:
- メモリファイル内の実名
- 設定ファイル内のデータベース認証情報
- ドットファイル内のSSHキー
ほとんどの開発者は、この情報が公開されていることに気づいていません。
ツールの詳細
Agent HushはGitHubで利用可能です:https://github.com/elliotllliu/agent-hush。このツールは特に、AIコーディングエージェントが誤って機密情報をコードコミットや公開リポジトリへのプッシュに含めてしまう可能性のあるシナリオを対象としています。
開発者の経験は特定のリスクを浮き彫りにしています:セキュリティプロジェクトを構築している最中に、彼ら自身のAIエージェントが、そのプロジェクトが保護するはずだったまさにその種類の機密情報を漏洩させてしまったのです。このツールは、そのインシデントへの直接的な対応として構築されました。
📖 Read the full source: r/openclaw
👀 See Also

Claudeチャットボットがメキシコ政府のデータ侵害で悪用される
ハッカーがAnthropicのClaudeチャットボットを悪用し、複数のメキシコ政府機関を攻撃し、納税者記録や従業員認証情報を含む150GBのデータを盗み出しました。ハッカーはプロンプトを使用してClaudeのガードレールを回避し、数千もの詳細な攻撃計画を生成しました。

Claude Codeが技術監査中にGitHubリポジトリのマルウェアバックドアを特定
開発者が実行前にGitHubリポジトリを監査するためにClaude Codeを使用し、src/server/routes/auth.jsにリモートコード実行バックドアを発見しました。これにより、彼らのマシンが危険にさらされる可能性がありました。プロンプトでは、プロジェクトの完全性、AI/MLレイヤー、データベース、認証、バックエンドサービス、フロントエンド、コード品質、および工数見積もりをチェックする技術的デューデリジェンス監査を要求していました。

Claudeは特定のユースケースにおいて本人確認を実装しています。
Anthropicは、Claude向けに政府発行の写真付き身分証明書とライブ自撮り写真を必要とするPersona Identitiesを通じた本人確認を導入しています。確認プロセスは5分以内で完了し、悪用防止と法的義務遵守のために使用されます。

スキルアナライザーがClawHubで利用可能になり、ワンコマンドインストールで導入できます。
OpenClaw Skill Analyzerセキュリティスキャナーが、ClawHubでワンコマンドインストール可能になりました。このツールは、プロンプトインジェクションや資格情報窃取などの悪意のあるパターンをスキルフォルダからスキャンし、安全な実行のためのDockerサンドボックスサポートも含まれています。