概要

Bitwardenは、AIエージェントが人間の承認ワークフローを通じてBitwardenのボールトから認証情報を要求できるAgent Access SDKをリリースしました。OneCLIはこのSDKを実装するオープンソースのゲートウェイで、エージェントと外部APIの間に位置し、ネットワーク層でリクエストに認証情報を注入します。

仕組み

このアプローチでは、エージェントがAPIキーをメモリ内で取得・保存する（抽出可能、ログ記録可能、プロンプトインジェクションに脆弱）代わりに、認証情報は明示的に承認されるまでBitwardenのボールト内で暗号化されたまま保持されます。エージェントが認証情報を必要とする場合、BitwardenのSDKを通じてアクセスを要求し、ユーザーがBitwarden CLIで承認すると、OneCLIが送信APIリクエストに認証情報を注入します。エージェントは生の値を一切目にしません。

主な機能と設定

OneCLIはエージェントが行うすべてのAPI呼び出しをプロキシし、ポリシー適用を処理します。ソースでは以下の設定例が提供されています：

# Bitwardenを認証情報ソースとして設定
onecli provider add bitwarden \
  --vault-url "https://vault.bitwarden.com"

サービスごとにAPI呼び出しをレート制限
onecli rules create 
  --name "Stripe rate limit" 
  --host-pattern "api.stripe.com" 
  --action rate_limit 
  --rate-limit 10 
  --rate-window 1h

Bitwardenは、エンタープライズキー管理に支えられた成熟した承認ワークフローを追加します。ユーザーが認証情報リクエストを承認すると、OneCLIが以降のすべてのAPI呼び出しに対して注入とポリシー適用を処理します。

ユーザーが得られるもの

• 認証情報は人間によって明示的に承認されるまで、Bitwardenの暗号化ボールト内に保持される
• OneCLIはエージェントが行うすべてのAPI呼び出しをプロキシし、ネットワーク層で認証情報を注入する
• レート制限とポリシー適用がすべてのプロキシリクエストに適用される
• 監査証跡は承認（Bitwarden側）と使用（OneCLI側）の両方をカバーする
• 外部サービスへのHTTP呼び出しを行うあらゆるエージェントフレームワークで動作する

利用可能状況

両プロジェクトはオープンソースです。BitwardenのAgent Access SDKはgithub.com/bitwarden/agent-accessに、OneCLIはgithub.com/onecli/onecliにあります。統合は現在アルファ版です。