FakeKey: инструмент для обеспечения безопасности API-ключей на Rust, который заменяет реальные ключи на поддельные

FakeKey — это инструмент безопасности для API-ключей на основе Rust, который заменяет настоящие API-ключи на поддельные в средах приложений. Инструмент решает риски атак через цепочку поставок, подобные тем, что наблюдались в недавних инцидентах с LiteLLM и Axios, когда скомпрометированные библиотеки могут сканировать и извлекать API-ключи немедленно.

Как работает FakeKey

FakeKey работает, гарантируя, что агенты и зависимости видят только поддельные API-ключи в обычной работе. Настоящие ключи безопасно шифруются и хранятся в системном хранилище ключей. Только в момент отправки HTTP/S-запроса FakeKey внедряет настоящий ключ обратно в запрос.

Такой подход делает утекшие ключи бессмысленными даже в скомпрометированных средах. Как описано в источнике: "Даже если зависимость скомпрометирована, злоумышленник может украсть только бесполезные строки."

Решаемая проблема

Инструмент решает реальность, что практически невозможно гарантировать безопасность всего программного обеспечения и NPM-зависимостей от атак через цепочку поставок. Эти атаки часто обнаруживаются только после нанесения ущерба, причём API-ключи часто оказываются раскрыты в файлах окружения — включая ключи LLM, связанные с биллингом, и чувствительные токены, такие как ключи Feishu (Lark).

Вместо попыток полностью предотвратить компрометацию, FakeKey меняет подход, делая утечки бессмысленными, гарантируя, что скомпрометированные зависимости могут получить доступ только к поддельным ключам.

Источник и доступность

FakeKey доступен на GitHub по адресу https://github.com/happyvibing/fakekey. Инструмент был разработан в ответ на недавние инциденты безопасности цепочки поставок и представляет собой иной подход к защите API-ключей в средах, где полная безопасность зависимостей не может быть гарантирована.