SkyClaw、AIエージェント向けに暗号化チャットベースのAPIキー設定を追加

SkyClawは、LLMやメッセージングプラットフォームにAPIキーを露出させることなく、チャットインターフェースを通じて安全にAPIキーを設定する方法を導入します。このシステムは、SSHアクセス、設定ファイルの編集、サービスの再起動を必要とする従来のセルフホスト型エージェントのワークフローの摩擦に対処します。

仕組み

このソリューションには2つのセキュリティ層があります：

• 第1層 — システム傍受： 鍵コマンド（/addkey、/keys、/removekey）と暗号化ブロブ（enc:v1:で始まる）は、メッセージがエージェントに到達する前にmain.rsで捕捉されます。Rustプロセスは復号、検証、ボールトへの保存を行い、LLMを認証操作から完全に切り離します。
• 第2層 — OTK暗号化： RFC 3986に従ってサーバーに送信されないURLフラグメント（#）を使用します。フロー：ボットがsetup.page/#one-time-256bit-keyを送信、ブラウザがWebCryptoを使用してAES-256-GCMでAPIキーをローカルで暗号化、ユーザーが暗号化ブロブをチャットに貼り戻し、ボットがシステム層で復号して保存し、ワンタイムキーを破棄します。

セキュリティ結果

• メッセージングプラットフォームは暗号文のみを認識（OTKなしでは無意味）
• LLMは何も認識しない（エージェントループ前に傍受）
• GitHub PagesはGET /setupのみを認識
• テキストの送受信が可能なあらゆるプラットフォームで動作

他のプロジェクトとの比較

ソースは現在のソリューションの制限を特定しています：

• OpenClaw： 設定ファイル、環境変数、CLIウィザード、オプションの外部シークレットマネージャーを使用。GitHub issue #11829は「OpenClawには現在、APIキーがLLMに漏洩したりチャットで露出したりする可能性のある複数のベクトルがある」と述べています。Issue #19137はconfig.getがAPIキーをセッション転写JSONLファイルに漏洩させることを文書化しています。
• OpenFang（Rust）： config.tomlで参照される環境変数（api_key_env = "ANTHROPIC_API_KEY"）、CLI初期化ウィザード、ダッシュボードUIを使用。 Zeroizing<String>とAES-256-GCM認証ボールトによる強力な保存時セキュリティを備えていますが、チャットからの安全な鍵取り込みはありません。
• NanoClaw： /setupスキル中に設定されるANTHROPIC_API_KEYまたはCLAUDE_CODE_OAUTH_TOKEN環境変数を使用。Docker Sandboxモードでは、プロキシベースのシステムがセンチネル値を置き換えますが、メッセージングを通じた暗号化鍵転送は依然としてありません。
• PicoClaw： 環境変数オーバーライド（PICOCLAW_PROVIDERS_*）を伴う~/.picoclaw/config.jsonを使用。Issue #972は、自己修復ロジックがconfig.jsonを読み取り、生のAPIキーをチャットログにエコーする際のサブエージェント認証漏洩を文書化しています。

OpenClawのissue #7916が述べる根本的な問題：「[システム]が動作するには、キーは平文でなければならない。」外部シークレットマネージャーは平文露出を実行時に延期しますが、転送を暗号化するものはありません。

技術詳細

URLフラグメントが機能するのは、RFC 3986に従い、#とそれ以降の内容はHTTPリクエストでサーバーに送信されず、Refererヘッダーに含まれず、CDN/プロキシ/Webサーバーに記録されず、完全にクライアント側で処理されるためです。GitHub PagesはOTKの知識ゼロでGET /setupを受け取ります。

main.rsのメッセージハンドラーには厳密な優先順位があります：鍵コマンドと暗号化ブロブが最初に一致し、直ちに返され、エージェントにフォールスルーすることはありません。LLMはすべてのチェックを通過したメッセージのみを受け取ります。出力側では、SecretCensorChannelがすべての発信メッセージをラップします。