BlindKey: AIエージェント向けブラインド認証情報インジェクション
BlindKeyの仕組み
BlindKeyは、AIエージェントが平文のAPI認証情報を扱う際のセキュリティリスクに対処します。エージェントにシークレットへの直接アクセスを与える代わりに、エージェントが暗号化されたボールトトークン(例:bk://stripe)を参照するシステムを使用します。ローカルプロキシがこれらの参照を傍受し、APIリクエストが行われた瞬間に実際の認証情報を注入します。エージェントプロセスは平文のシークレットを決して見たり保存したりしません。
セキュリティ機能
- 保存データのAES-256-GCM暗号化
- シークレットごとのドメイン許可リスト(例:Stripeキーはapi.stripe.comでのみ使用可能)
- デフォルト拒否のファイルシステムゲーティング
- エージェントの書き込みに対するコンテンツスキャン(誤って漏洩した認証情報やPIIを検出)
- 暗号化ハッシュチェーンによる改ざん検知監査ログ
脅威モデルと攻撃対象領域
特定された主な脆弱性は、エージェントがBlindKey自身のプロセスメモリやボールトファイルを読み取れる場合で、これによりブラインドインジェクション保護が回避されます。現在の緩和策には、SQLite暗号化とOSレベルのファイル権限が含まれます。ソースは、カーネルレベルのサンドボックス(nonoのアプローチなど)がより強力な保護を提供すると示唆しています。
このツールはGitHubで入手可能です:github.com/michaelkenealy/blindkey。
📖 Read the full source: r/openclaw
👀 See Also
OpenClawのセキュリティ懸念:デフォルトのセルフホスティングにおけるAPIキーと会話データのリスク
シスコのレポートによると、OpenClawのセキュリティは「オプションであり、組み込まれていない」とされており、デフォルト設定ではAPIキーがVPSインスタンスの.envファイルに保存されるため、基本的なドロップレットで運用する非技術ユーザーに潜在的なリスクをもたらす可能性があります。
アイアンクローのAIエージェント安全性に対するセキュリティ第一のアプローチ
IronClawは、安全な動作をLLMの知能に依存する代わりに、制約付き実行、暗号化環境、明示的な権限を実装することで、AIエージェントのセキュリティ懸念に対処します。
OpenClawにおけるプライバシー懸念:スキル、SOUL MD、エージェント通信
開発者がOpenClawのアーキテクチャについてプライバシー上の懸念を提起。具体的には、スキルが機密データに無制限にアクセスできること、SOUL MDが書き込み可能であること、エージェントがフィルターなしで情報を共有することなどが指摘されています。
クロード・ケージ:ClaudeコードセキュリティのためのDockerサンドボックス
開発者がClaude CageというDockerコンテナを作成し、Claude Codeを単一のワークスペースフォルダに隔離することで、SSHキー、AWS認証情報、個人ファイルへのアクセスを防止します。このセットアップにはセキュリティルールが含まれており、Dockerがインストールされていれば約2分で完了します。