FakeKey：RustベースのAPIキーセキュリティツール、本物のキーを偽物に置き換える

FakeKeyは、RustベースのAPIキーセキュリティツールで、アプリケーション環境内の実際のAPIキーを偽物のキーに置き換えます。このツールは、LiteLLMやAxiosに関連する最近のインシデントで見られたような、侵害されたライブラリがAPIキーを即座にスキャンして外部に流出させるサプライチェーン攻撃のリスクに対処します。

FakeKeyの仕組み

FakeKeyは、通常の操作中にエージェントや依存関係が偽のAPIキーしか見られないようにすることで動作します。実際のキーは安全に暗号化され、システムのネイティブキーチェーンに保存されます。HTTP/Sリクエストが送信される瞬間にのみ、FakeKeyは実際のキーをリクエストに注入します。

このアプローチにより、侵害された環境であっても流出したキーは無意味になります。ソースで説明されている通り：「依存関係が侵害されたとしても、攻撃者は役に立たない文字列しか盗むことができません。」

解決する問題

このツールは、すべてのソフトウェアやNPM依存関係がサプライチェーン攻撃から安全であることを保証することはほとんど不可能であるという現実に対処します。これらの攻撃は、多くの場合、損害が発生した後にのみ発見され、APIキーは環境ファイル（課金に関連するLLMキーやFeishu（Lark）キーのような機密トークンを含む）で頻繁に露出しています。

完全な汚染を防ごうとする代わりに、FakeKeyは侵害された依存関係が偽のキーにしかアクセスできないようにすることで、流出を無意味にするアプローチに変更します。

ソースと入手可能性

FakeKeyはGitHubで入手可能です：https://github.com/happyvibing/fakekey。このツールは、最近のサプライチェーンセキュリティインシデントに対応して開発され、完全な依存関係のセキュリティを保証できない環境におけるAPIキー保護への異なるアプローチを表しています。