openclaw-credential-vault는 AI 에이전트의 네 가지 자격 증명 유출 경로를 해결합니다.

openclaw-credential-vault는 OpenClaw AI 에이전트 설정에서 자격 증명 노출 위험을 해결하는 보안 도구입니다. 이 도구는 식별된 네 가지 자격 증명 유출 경로에 대해 세 가지 방어 계층을 구현합니다.

네 가지 자격 증명 노출 경로

원본은 다음과 같은 주요 위협을 식별합니다:

• 직접 파일/환경 변수 접근: cat ~/.env 또는 echo $GITHUB_TOKEN과 같은 명령을 실행하는 에이전트는 환경 변수나 구성 파일에 저장된 자격 증명을 노출할 수 있습니다.
• 컨텍스트 창 유출: 토큰이나 인증 헤더를 포함하는 도구 출력이 대화 기록에 영구적으로 저장됩니다.
• 프롬프트 주입 유출: 악성 지시문이 에이전트를 속여 접근 가능한 자격 증명을 전달하도록 할 수 있습니다.
• 공급망 공격: 에이전트 권한으로 임의 코드를 실행하는 악성 ClawHub 스킬.

핵심 통찰: 처음 세 가지 경로는 자격 증명이 에이전트 프로세스에 보이는 것에 의존합니다. 그 가시성을 제거하면 공격 표면의 75%를 제거할 수 있습니다.

openclaw-credential-vault 작동 방식

이 도구는 세 가지 방어 계층을 제공합니다:

OS 수준 격리

전용 시스템 사용자가 암호화된 볼트 파일을 소유하며, 파일 시스템 권한은 커널에 의해 강제됩니다. 에이전트 프로세스는 파일 시스템 수준에서 이러한 파일에 접근할 수 없습니다.

하위 프로세스 범위 주입

자격 증명은 샌드박스된 리졸버 바이너리에 의해 복호화되어 특정 하위 프로세스 환경에만 주입됩니다. 예를 들어, GITHUB_TOKEN은 gh 프로세스 내부에만 존재하며 해당 하위 프로세스가 종료되면 사라집니다. 에이전트 자체 프로세스는 평문 자격 증명을 절대 보지 않습니다.

4-후크 출력 정제

도구 출력이 에이전트에 도달하기 전에 네 가지 독립적인 계층이 유출을 검사합니다:

• ghp_ 및 sk_live_와 같은 알려진 형식에 대한 정규식 패턴 매칭
• 저장된 정확한 자격 증명에 대한 해시 기반 리터럴 매칭
• 환경 변수 이름 매칭
• 전역 알려진 형식 감지

기술적 구현

• 암호화: 자격 증명별 무작위 솔트를 사용한 AES-256-GCM
• 키 파생: 64 MiB 메모리 비용, 3회 반복을 사용한 Argon2id
• 호환성: 브라우저 로그인이나 세션 쿠키를 포함한 모든 CLI 도구나 API와 작동
• BYOT(자체 도구 가져오기) 지원
• 테스트 커버리지: 36개 파일에 걸친 약 700개 테스트
• 오픈 소스

설정 및 사용법

설치: npm install -g openclaw-credential-vault

기본 설정: openclaw vault add github --key ghp_xxx

이 도구는 구성 수준 비밀을 처리하지만 OS 수준 분리가 부족하고 OpenClaw 자체 구성 키만 다루며 gh나 stripe CLI와 같은 임의 도구를 다루지 않는 SecretRefs(v2026.3.2)의 한계를 해결합니다.