OneCLI:AIエージェント向けオープンソース認証情報保管庫

OneCLIが解決する課題
AIエージェントは、外部サービスにアクセスするために生のAPIキーを頻繁に与えられ、セキュリティリスクを生み出しています。OneCLIは、エージェントとそれらが呼び出すサービスの間に位置する認証情報ボールトとして機能することでこの問題に対処します。すべてのエージェントにAPIキーを組み込む代わりに、認証情報をOneCLIの暗号化ボールトに一度保存し、エージェントにはプレースホルダーキー(FAKE_KEYなど)を提供します。
仕組み
エージェントがOneCLIプロキシを介してHTTP呼び出しを行うと、ゲートウェイはホストとパスのパターンでリクエストを照合し、エージェントがアクセス権を持つべきか検証し、プレースホルダーを実際の認証情報に置き換えてリクエストを転送します。エージェントは実際のシークレットに触れることはなく、通常通りCLIやMCPツールを使用します。
技術的アーキテクチャ
- Rustゲートウェイ: アウトバウンドリクエストを傍受して認証情報を注入する高速HTTPゲートウェイ。エージェントはProxy-Authorizationヘッダーを介してアクセストークンで認証します。
- Webダッシュボード: エージェント、シークレット、権限を管理するためのNext.jsアプリ(ポート10254)。
- シークレットストア: AES-256-GCM暗号化された認証情報ストレージ。シークレットはリクエスト時にのみ復号化されます。
- 組み込みデータベース: 組み込みのPGlite(PostgreSQL互換)で動作するか、外部PostgreSQLを使用できます。
クイックスタート
Dockerでローカルに実行:
docker run --pull always -p 10254:10254 -p 10255:10255 -v onecli-data:/app/data ghcr.io/onecli/onecli次に、http://localhost:10254を開き、エージェントを作成し、シークレットを追加し、エージェントのHTTPゲートウェイをlocalhost:10255に向けます。
主な機能
- 透過的な認証情報注入: エージェントは通常のHTTP呼び出しを行います
- AES-256-GCM暗号化による保存時の暗号化を備えたシークレットストレージ
- 特定のAPIエンドポイントにシークレットをルーティングするためのホストとパスのパターンマッチング
- エージェントごとにスコープされた権限を持つマルチエージェントサポート
- シングルコンテナモードでは外部依存関係なし
- 2つの認証モード: ローカル使用のためのシングルユーザー(ログイン不要)、またはチーム向けのGoogle OAuth
- Apache-2.0ライセンス
互換性
あらゆるエージェントフレームワーク(OpenClaw、NanoClaw、IronClaw、またはHTTPS_PROXYを設定できるもの)と連携します。プロジェクトは、ポート10255のRustプロキシとポート10254のNext.jsダッシュボードで構成されています。
📖 Read the full source: HN AI Agents
👀 See Also

arifOS:OpenClawツールセキュリティのための1500万ドルMCPガバナンスカーネル
arifOSは軽量なMCPサーバーで、OpenClawツール呼び出しを傍受し、000-999でスコアリングし、ファイルシステム、API、データベースに到達する前に13の厳格なセキュリティフロアで安全でないアクションをブロックします。

AIエージェントによるプロダクション削除インシデント:そのパターンと修正方法
PocketOS、Replit、CursorにおけるAIエージェントによるプロダクション削除インシデントは、共通のアクセスパターンを持っています。対策:エージェントには本番環境の認証情報を与えず、すべての変更はポリシースコアリングゲートを通過したCI/CDを通じて行われます。

重要なOpenClawセキュリティ脆弱性が2026年3月28日に修正されました。
OpenClawバージョン2026.3.28では、Ant AI Security Labによって発見されたサンドボックスバイパス、権限昇格、SSRFリスクを含む8つの重大なセキュリティ脆弱性が修正されました。バージョン2026.3.24以前のユーザーは直ちにアップデートしてください。

ローカルエージェントAPIキーのセキュリティのためのプロキシ層分離
開発者が、ローカルエージェントセットアップ(Claude Code / Cursorスタイルのワークフロー)において、ほとんどのスタックが環境変数や<code>.env</code>ファイルを通じてAPIキーを公開し、任意のツール、プラグイン、またはプロンプトインジェクションされたコードが資格情報を読み取る可能性があるセキュリティリスクを生み出していることに気づきました。