openclaw-credential-vaultは、AIエージェントにおける4つの認証情報漏洩経路に対処します。

openclaw-credential-vaultは、OpenClaw AIエージェント環境における認証情報の漏洩リスクに対処するセキュリティツールです。このツールは、特定された4つの認証情報漏洩経路に対して3層の防御を実装しています。

4つの認証情報漏洩経路

ソースでは以下の主要な脅威を特定しています：

• ファイル/環境変数への直接アクセス： cat ~/.env や echo $GITHUB_TOKEN のようなコマンドを実行するエージェントは、環境変数や設定ファイルに保存された認証情報を漏洩させる可能性があります。
• コンテキストウィンドウ漏洩： トークンや認証ヘッダーを含むツール出力は、会話履歴に恒久的に保存されます。
• プロンプトインジェクションによる流出： 悪意のある指示により、エージェントがアクセス可能な認証情報を転送させられる可能性があります。
• サプライチェーン攻撃： エージェントの権限で任意のコードを実行する悪意のあるClawHubスキル。

重要な洞察：最初の3つの経路は、認証情報がエージェントプロセスから可視であることに依存しています。この可視性を排除することで、攻撃対象領域の75%を排除できます。

openclaw-credential-vaultの仕組み

このツールは3層の防御を提供します：

OSレベルの分離

専用のシステムユーザーが暗号化されたボールトファイルを所有し、カーネルによってファイルシステム権限が強制されます。エージェントプロセスはファイルシステムレベルでこれらのファイルにアクセスできません。

サブプロセススコープの注入

認証情報はサンドボックス化されたリゾルババイナリによって復号され、特定のサブプロセス環境にのみ注入されます。例えば、GITHUB_TOKENはghプロセス内でのみ存在し、そのサブプロセスが終了すると消滅します。エージェント自身のプロセスは平文の認証情報を決して見ることはありません。

4段階フックによる出力スクラビング

ツール出力がエージェントに到達する前に、4つの独立した層が漏洩をスキャンします：

• ghp_やsk_live_などの既知フォーマットに対する正規表現パターンマッチング
• 保存された正確な認証情報に対するハッシュベースのリテラルマッチング
• 環境変数名マッチング
• グローバルな既知フォーマット検出

技術的実装

• 暗号化：認証情報ごとのランダムソルトを使用したAES-256-GCM
• 鍵導出：64 MiBメモリコスト、3回の反復によるArgon2id
• 互換性：ブラウザログインやセッションクッキーを含む、あらゆるCLIツールやAPIと連携
• BYOT（Bring your own tools）サポート
• テストカバレッジ：36ファイルにわたる約700のテスト
• オープンソース

セットアップと使用方法

インストール：npm install -g openclaw-credential-vault

基本設定：openclaw vault add github --key ghp_xxx

このツールは、SecretRefs（v2026.3.2）の制限に対処しています。SecretRefsは設定レベルのシークレットを扱いますが、OSレベルの分離がなく、OpenClaw自身の設定キーのみをカバーし、ghやstripe CLIのような任意のツールはカバーしません。