BlindKey: Injeção Cega de Credenciais para Agentes de IA

Como o BlindKey Funciona

O BlindKey aborda o risco de segurança de agentes de IA manipularem credenciais de API em texto puro. Em vez de dar aos agentes acesso direto aos segredos, ele utiliza um sistema onde os agentes referenciam tokens de cofre criptografados (por exemplo, bk://stripe). Um proxy local intercepta essas referências e injeta a credencial real no momento em que a solicitação da API é feita. O processo do agente nunca vê ou armazena o segredo em texto puro.

Recursos de Segurança

• Criptografia AES-256-GCM para dados em repouso
• Lista de permissão de domínio por segredo (por exemplo, uma chave do Stripe só pode ser usada com api.stripe.com)
• Bloqueio padrão do sistema de arquivos
• Verificação de conteúdo em gravações do agente para detectar credenciais ou PII vazadas acidentalmente
• Registro de auditoria com evidência de adulteração e cadeia de hash criptográfica

Modelo de Ameaça e Superfície de Ataque

A principal vulnerabilidade identificada é se um agente conseguir ler a memória do próprio processo do BlindKey ou o arquivo do cofre, o que contornaria a proteção de injeção cega. As mitigações atuais incluem criptografia SQLite e permissões de arquivo em nível de sistema operacional. A fonte sugere que o isolamento em nível de kernel (como a abordagem do nono) forneceria proteção mais forte.

A ferramenta está disponível no GitHub em github.com/michaelkenealy/blindkey.