BlindKey: Слепая инъекция учетных данных для ИИ-агентов

Как работает BlindKey

BlindKey решает проблему безопасности, связанную с обработкой агентами ИИ открытых API-ключей. Вместо того чтобы предоставлять агентам прямой доступ к секретам, используется система, в которой агенты ссылаются на зашифрованные токены хранилища (например, bk://stripe). Локальный прокси перехватывает эти ссылки и внедряет фактический ключ в момент выполнения API-запроса. Процесс агента никогда не видит и не хранит открытый секрет.

Функции безопасности

• Шифрование AES-256-GCM для данных в состоянии покоя
• Разрешительные списки доменов для каждого секрета (например, ключ Stripe может использоваться только с api.stripe.com)
• Файловая система с политикой "запрещено по умолчанию"
• Сканирование содержимого при записи агентом для обнаружения случайно раскрытых ключей или персональных данных
• Аудит-журнал с защитой от несанкционированного доступа и криптографической цепочкой хэшей

Модель угроз и поверхность атаки

Основная уязвимость возникает, если агент может прочитать собственную память процесса BlindKey или файл хранилища, что обойдёт защиту слепого внедрения. Текущие меры включают шифрование SQLite и разрешения файлов на уровне ОС. В источнике предлагается, что изоляция на уровне ядра (как в подходе nono) обеспечит более сильную защиту.

Инструмент доступен на GitHub по адресу github.com/michaelkenealy/blindkey.