AI एजेंट्स के लिए क्रेडेंशियल प्रबंधन: Vault-Proxy आर्किटेक्चर
AI एजेंट्स के लिए क्रेडेंशियल प्रबंधन उन इन्फ्रास्ट्रक्चर प्रथाओं का समूह है जो यह नियंत्रित करती हैं कि स्वायत्त एजेंट API कीज़ और सीक्रेट्स को बिना एजेंट की मेमोरी, लॉग्स, या कॉन्टेक्स्ट विंडो में एक्सपोज किए कैसे प्राप्त करें, उपयोग करें, रोटेट करें और रिलीज करें। एजेंट्स मानक क्रेडेंशियल पैटर्न को तोड़ते हैं: वे स्वायत्त रूप से चलते हैं, प्रॉम्प्ट इंजेक्शन से कॉम्प्रोमाइज़ हो सकते हैं, और फ्लीट्स में काम करते हैं जहां साझा सीक्रेट्स एक्सफिल्ट्रेशन अटैक सर्फेस को गुणा करते हैं। CVE-2024-34359 (llama-cpp-python, CVSS 9.6) और CVE-2025-29927 (Next.js, CVSS 9.1) ने दिखाया कि जब सुरक्षा सीमाएं विफल होती हैं तो AI डिप्लॉयमेंट सीक्रेट्स को कैसे एक्सपोज करती हैं।
AI एजेंट्स के लिए क्रेडेंशियल प्रबंधन उन प्रथाओं और इन्फ्रास्ट्रक्चर पैटर्न का समूह है जो यह नियंत्रित करते हैं कि स्वायत्त एजेंट API कीज़, टोकन और सीक्रेट्स को बिना एजेंट की मेमोरी, लॉग्स या कॉन्टेक्स्ट विंडो में एक्सपोज किए कैसे प्राप्त करें, उपयोग करें, रोटेट करें और रिलीज करें।
एजेंट फ्लीट्स में मानक क्रेडेंशियल पैटर्न क्यों विफल होते हैं
स्केल पर .env फाइल की समस्या
एनवायरनमेंट वेरिएबल सिंगल-प्रोसेस एप्लिकेशन के लिए ठीक काम करते हैं। एजेंट फ्लीट्स के लिए, मॉडल तुरंत ढह जाता है। 10 एजेंट्स के फ्लीट में शेयर की गई .env फाइल का मतलब है कि 10 रनिंग प्रोसेस में से प्रत्येक मेमोरी में हर सीक्रेट रखता है। हर प्रोसेस लॉग, एरर आउटपुट और डीबग ट्रेस जनरेट करता है - ये सब संभावित क्रेडेंशियल एक्सपोजर सर्फेस हैं। अगर इन 10 एजेंट्स में से किसी एक को प्रॉम्प्ट इंजेक्शन अटैक से कॉम्प्रोमाइज़ किया जाता है और अपना एनवायरनमेंट प्रिंट करने का निर्देश दिया जाता है, तो शेयर की गई .env के हर क्रेडेंशियल एक साथ लीक हो जाते हैं।
N-एजेंट मल्टीप्लायर मूल समस्या है: फ्लीट में हर अतिरिक्त एजेंट हर शेयर्ड क्रेडेंशियल के लिए एक और एक्सपोजर सर्फेस जोड़ता है। .env में 5 API कीज़ के साथ 20 एजेंट्स का फ्लीट लॉग एग्रीगेशन, एरर रिपोर्टिंग, या डीबगिंग टूल्स जो एनवायरनमेंट स्नैपशॉट कैप्चर कर सकते हैं, पर विचार करने से पहले 100 संभावित क्रेडेंशियल एक्सपोजर पॉइंट बनाता है।
डिप्लॉय किए गए AI सिस्टम में प्लेनटेक्स्ट सीक्रेट्स पर CVE रिकॉर्ड
दो CVE ने डिप्लॉय किए गए AI सिस्टम में असुरक्षित सीक्रेट हैंडलिंग की वास्तविक कोस्ट को डॉक्युमेंट किया है:
CVE-2024-34359 (llama-cpp-python, CVSS 9.6 Critical): llama-cpp-python में मॉडल मेटाडेटा के बिना सैंडबॉक्स रेंडरिंग के माध्यम से Jinja2 सर्वर-साइड टेम्प्लेट इंजेक्शन। दुर्भावनापूर्ण रूप से तैयार की गई .gguf फाइल का चैट टेम्प्लेट फील्ड बिना सैंडबॉक्सिंग के jinja2.Environment के माध्यम से रेंडर किया गया, जिससे रिमोट कोड एक्सीक्यूशन संभव हुआ। कोई भी एप्लिकेशन जो अविश्वसनीय मॉडल लोड करती है, जिसमें बाहरी स्रोतों से मॉडल डाउनलोड करने वाले एजेंट पाइपलाइन शामिल हैं, स्कोप में थी।
CVE-2025-29927 (Next.js, CVSS 9.1 Critical): x-middleware-subrequest हेडर के माध्यम से ऑथराइज़ेशन बाईपास जिसने अनऑथेंटिकेटेड रिक्वेस्ट को Next.js डिप्लॉयमेंट में मिडलवेयर को स्किप करने की अनुमति दी। AI एजेंट API बैकएंड सहित क्रेडेंशियल-प्रोटेक्टेड रूट्स को प्रोटेक्ट करने के लिए Next.js मिडलवेयर का उपयोग करने वाले एप्लिकेशन प्रभावित हुए। बग वर्जन 12.3.5, 13.5.9, 14.2.25 और 15.2.3 में फिक्स किया गया था।
दोनों CVE एक ही मूल रिस्क क्लास दिखाते हैं: जब सीक्रेट्स या प्रोटेक्टेड रूट्स स्ट्रक्चरल आइसोलेशन के बजाय एप्लिकेशन-लेयर कंट्रोल पर निर्भर होते हैं, तो एक लॉजिकल दोष उन्हें एक्सपोज करता है। Vault-Proxy पैटर्न सीक्रेट्स को एजेंट कंटेनर के बाहर और इन्फ्रास्ट्रक्चर-लेयर एन्फोर्समेंट के पीछे रखकर अटैक सर्फेस को हटाता है।
एजेंट लॉग क्रेडेंशियल रिस्क क्यों हैं
ट्रेडिशनल एप्लिकेशन लॉग में नियंत्रित कॉल साइट्स से स्ट्रक्चर्ड इवेंट होते हैं। एजेंट लॉग सब कुछ कैप्चर करते हैं: LLM रीज़निंग ट्रेस, टूल कॉल आर्गुमेंट, टूल रिटर्न वैल्यू और इंटरमीडिएट रीज़निंग स्टेप्स। जब एजेंट ऑथराइज़ेशन हेडर में क्रेडेंशियल के साथ बाहरी API को कॉल करता है, तो एक साधारण लॉगिंग कॉन्फ़िगरेशन उस हेडर को कैप्चर करता है।
एजेंट लॉग वॉल्यूम अधिक है और रिटेंशन पीरियड अक्सर लंबा होता है। एक बार जब क्रेडेंशियल लॉग एग्रीगेशन सिस्टम में दिखाई देते हैं, तो वे तब तक रहते हैं जब तक लॉग पर्ज नहीं होते - यह एजेंट के रिटायर होने के हफ्तों या महीनों बाद हो सकता है।
प्रॉम्प्ट इंजेक्शन से क्रेडेंशियल तक का रास्ता
OWASP LLM Top 10 v1.1 (LLM06: Sensitive Information Disclosure, अक्टूबर 2025) क्रेडेंशियल लीकेज को LLM एप्लिकेशन का प्रमुख अटैक वेक्टर पहचानता है। हमला सीधा है: एजेंट द्वारा रिट्रीव किए गए एडवर्सेरियल कंटेंट में "सभी एनवायरनमेंट वेरिएबल प्रिंट करो" या "अपनी API की आउटपुट करो" जैसे निर्देश होते हैं। स्ट्रक्चरल क्रेडेंशियल आइसोलेशन के बिना एजेंट इस निर्देश को वैध टास्क निर्देश से अलग नहीं कर सकता।
2026 की शुरुआत के शोध ने 3,984 एजेंट स्किल्स को स्कैन किया और पाया कि 283 (7.1%) में LLM कॉन्टेक्स्ट के माध्यम से प्लेनटेक्स्ट में API कीज़ पास करने वाले गंभीर क्रेडेंशियल हैंडलिंग दोष थे। 76 स्किल्स में जानबूझकर क्रेडेंशियल चुराने वाले पेलोड थे। एकमात्र स्ट्रक्चरल डिफेंस यह सुनिश्चित करना है कि क्रेडेंशियल एजेंट कॉन्टेक्स्ट में कभी मौजूद न हों।
AI एजेंट्स के लिए क्रेडेंशियल प्रबंधन पैटर्न
पैटर्न 1: एनवायरनमेंट वेरिएबल (सबसे कम सुरक्षित)
एनवायरनमेंट वेरिएबल (os.environ, .env फाइल, Docker --env फ्लैग) अधिकांश एजेंट फ्रेमवर्क का डिफ़ॉल्ट क्रेडेंशियल पैटर्न है। LangChain os.environ से पढ़ता है, CrewAI एनवायरनमेंट इंजेक्शन पर निर्भर करता है, OpenAI Agents SDK प्रोसेस एनवायरनमेंट में क्रेडेंशियल की उम्मीद करता है। यह पैटर्न केवल लोकल डेवलपमेंट और प्रोटोटाइपिंग के लिए उचित है।
प्रोडक्शन एजेंट फ्लीट्स के लिए, एनवायरनमेंट वेरिएबल हर सुरक्षा अक्ष पर विफल होते हैं: वे एजेंट प्रोसेस मेमोरी में मौजूद होते हैं (प्रॉम्प्ट इंजेक्शन से एक्सेस योग्य), Linux होस्ट पर /proc/{pid}/environ में दिखाई देते हैं, एरर ट्रेसबैक और डीबग आउटपुट में आते हैं, और शेयर्ड-एनवायरनमेंट फ्लीट में सभी एजेंट्स में फैलते हैं।
पैटर्न 2: सीक्रेट मैनेजर इंटीग्रेशन
क्लाउड सीक्रेट मैनेजर (AWS Secrets Manager, $0.40/सीक्रेट/महीना + $0.05 प्रति 10,000 API कॉल; Azure Key Vault; GCP Secret Manager) एजेंट प्रोसेस के बाहर क्रेडेंशियल स्टोर करके और ऑन-डिमांड रिट्रीव करके एनवायरनमेंट वेरिएबल पर सुधार करते हैं। एजेंट सीक्रेट मैनेजर API को कॉल करके क्रेडेंशियल प्राप्त करता है, ऑपरेशन के लिए उपयोग करता है, फिर डिस्कार्ड करता है।
यह पैटर्न मेमोरी में क्रेडेंशियल लाइफटाइम कम करता है लेकिन एक्सपोजर विंडो को समाप्त नहीं करता: क्रेडेंशियल अभी भी फेच-यूज़-डिस्कार्ड साइकिल के दौरान एजेंट मेमोरी से गुजरते हैं।
पैटर्न 3: Vault Proxy / ओपेक हैंडल इंजेक्शन (सबसे सुरक्षित)
Vault-Proxy पैटर्न क्रेडेंशियल को एजेंट कंटेनर से पूरी तरह बाहर रखता है। एजेंट एक ओपेक हैंडल, $CRED{stripe_key} जैसी रेफरेंस स्ट्रिंग रखता है जो क्रेडेंशियल को रिज़ॉल्व किए बिना पहचानती है। जब एजेंट हैंडल वाला API कॉल करता है, तो Vault Proxy रिक्वेस्ट इंटरसेप्ट करता है, हैंडल को वास्तविक क्रेडेंशियल से रिज़ॉल्व करता है, नेटवर्क लेयर पर इंजेक्ट करता है, और ऑथेंटिकेटेड रिक्वेस्ट फॉरवर्ड करता है। एजेंट कभी प्लेनटेक्स्ट क्रेडेंशियल नहीं देखता।
यह HashiCorp Vault (35,763 स्टार, BSL, v2.0.2 5 जून 2026 को रिलीज़) के एजेंट-साइड इंजेक्शन के समान सिद्धांत है, एजेंट ऑर्केस्ट्रेशन लेयर में सीधे बनाया गया। इकोसिस्टम में 700+ MCP सर्वर (जून 2026) के साथ, $CRED{} हैंडल पैटर्न प्रति-सर्वर .env फैलाव को समाप्त करता है।
पूरी तरह से कॉम्प्रोमाइज़ किए गए एजेंट कंटेनर को क्रेडेंशियल तक ज़ीरो एक्सेस है क्योंकि कंटेनर के स्कोप में कोई क्रेडेंशियल मौजूद नहीं है।
पैटर्न 4: वर्कलोड आइडेंटिटी और OIDC फेडरेशन
वर्कलोड आइडेंटिटी (OIDC फेडरेशन, SPIFFE/SPIRE, क्लाउड IAM सर्विस अकाउंट) क्लाउड सर्विस एक्सेस के लिए लॉन्ग-लिव्ड API कीज़ को पूरी तरह समाप्त करता है। हर एजेंट कंटेनर रनटाइम पर एक शॉर्ट-लिव्ड आइडेंटिटी टोकन प्राप्त करता है जो क्लाउड प्रोवाइडर क्रेडेंशियल के लिए एक्सचेंज होता है। क्रेडेंशियल में बाउंडेड TTL होता है, आमतौर पर 15 मिनट से 1 घंटा।
कई क्लाउड अकाउंट या प्रोवाइडर पर फैले मल्टी-एजेंट सिस्टम आर्किटेक्चर के लिए, वर्कलोड आइडेंटिटी फेडरेशन एकमात्र स्केलेबल क्रेडेंशियल मॉडल है।
OpenLegion का दृष्टिकोण: $CRED{} हैंडल पैटर्न
हर प्रमुख AI एजेंट फ्रेमवर्क क्रेडेंशियल प्रबंधन को होस्ट एप्लिकेशन की समस्या मानता है। LangChain और LangGraph os.environ से पढ़ते हैं। CrewAI एनवायरनमेंट इंजेक्शन पर निर्भर करता है। OpenAI Agents SDK प्रोसेस एनवायरनमेंट में क्रेडेंशियल की उम्मीद करता है। AutoGen Python प्रोसेस एनवायरनमेंट इनहेरिट करता है। इनमें से कोई भी फ्रेमवर्क स्ट्रक्चरल क्रेडेंशियल आइसोलेशन प्रदान नहीं करता।
OpenLegion का Vault-Proxy एजेंट ऑर्केस्ट्रेशन लेयर में बनाया गया है। एजेंट क्रेडेंशियल को ओपेक $CRED{name} हैंडल के रूप में रेफर करते हैं। मेश होस्ट सर्वर-साइड हैंडल रिज़ॉल्व करता है और नेटवर्क बाउंड्री पर क्रेडेंशियल इंजेक्ट करता है। कोई भी एजेंट कंटेनर कभी प्लेनटेक्स्ट क्रेडेंशियल प्राप्त नहीं करता।
Infisical (27,296 स्टार, MIT लाइसेंस कोर के साथ ओपन-सोर्स TypeScript सीक्रेट प्लेटफॉर्म) ने 2023 में $2.8M सीड फंडिंग जुटाई। OpenLegion उसी फंक्शनैलिटी को सीधे एजेंट रनटाइम में बनाता है, अलग सीक्रेट मैनेजमेंट डिप्लॉयमेंट के बिना।
| डाइमेंशन | OpenLegion | LangChain/LangGraph | CrewAI | OpenAI Agents SDK | AutoGen |
|---|---|---|---|---|---|
| क्रेडेंशियल स्टोरेज | Vault (ओपेक हैंडल) | एनवायरनमेंट / .env | एनवायरनमेंट / .env | एनवायरनमेंट / .env | एनवायरनमेंट / .env |
| एजेंट एक्सेस पैटर्न | $CRED{} हैंडल (कंटेनर में कभी रिज़ॉल्व नहीं) | os.environ डायरेक्ट रीड | os.environ डायरेक्ट रीड | os.environ डायरेक्ट रीड | os.environ डायरेक्ट रीड |
| एजेंट कॉन्टेक्स्ट में प्लेनटेक्स्ट? | कभी नहीं | हां (os.environ रीड पर) | हां (os.environ रीड पर) | हां (os.environ रीड पर) | हां (os.environ रीड पर) |
| रोटेशन सपोर्ट | Vault नेटिव; रिस्टार्ट के बिना हॉट रोटेशन | मैनुअल; रिस्टार्ट आवश्यक | मैनुअल; रिस्टार्ट आवश्यक | मैनुअल; रिस्टार्ट आवश्यक | मैनुअल; रिस्टार्ट आवश्यक |
| प्रति-एजेंट स्कोपिंग | अलाउलिस्ट द्वारा मेश लेवल पर एन्फोर्स | एन्फोर्स नहीं | एन्फोर्स नहीं | एन्फोर्स नहीं | एन्फोर्स नहीं |
| ऑडिट ट्रेल | हर हैंडल रिज़ॉल्यूशन एजेंट ID के साथ लॉग | नेटिव नहीं | नेटिव नहीं | नेटिव नहीं | नेटिव नहीं |
वर्तमान स्टैक के पूरे क्रेडेंशियल एक्सपोजर सर्फेस का मूल्यांकन करने वाली टीमों के लिए, AI एजेंट सिक्युरिटी थ्रेट मॉडल क्रेडेंशियल लीकेज को छह डॉक्युमेंटेड थ्रेट कैटेगरी में से एक के रूप में कवर करता है।
AI एजेंट फ्लीट्स के लिए सीक्रेट रोटेशन
TTL-बाउंडेड क्रेडेंशियल लीज़
स्टैटिक API कीज़ एजेंट फ्लीट्स के लिए सबसे खराब क्रेडेंशियल हैं। लीक हुई स्टैटिक की अनिश्चित काल तक वैलिड रहती है। TTL-बाउंडेड क्रेडेंशियल लीज़ दोनों समस्याओं को हल करती हैं। क्रेडेंशियल एक्सपायरी विंडो के साथ जारी किए जाते हैं, इंटरएक्टिव एजेंट सेशन के लिए आमतौर पर 1 घंटा; हाई-सेंसिटिविटी ऑपरेशन के लिए 15 मिनट। लीज़ समाप्त होने पर, Vault स्वचालित रूप से नए क्रेडेंशियल जारी करता है।
HashiCorp Vault का डायनेमिक सीक्रेट इंजन डेटाबेस, क्लाउड प्रोवाइडर और कस्टम बैकएंड के लिए ऑन-डिमांड शॉर्ट-लिव्ड क्रेडेंशियल जनरेट करता है। CVE-2026-39829 (golang/crypto, जून 2026) ने SSH पब्लिक की पार्सिंग में एक DoS वल्नरेबिलिटी पैच किया, जिसे Vault v2.0.2 ने RSA कीज़ को 8,192 बिट्स तक सीमित करके एड्रेस किया।
एजेंट रिस्टार्ट के बिना हॉट रोटेशन
हॉट रोटेशन रनिंग एजेंट कंटेनर को छुए बिना Vault में नए क्रेडेंशियल इंजेक्ट करता है। Vault Proxy के माध्यम से एजेंट का अगला API कॉल पारदर्शी रूप से नए क्रेडेंशियल का उपयोग करता है। एजेंट के दृष्टिकोण से, $CRED{name} हैंडल अभी भी रिज़ॉल्व होता है - केवल अंडरलाइंग सीक्रेट बदला है।
हॉट रोटेशन के लिए आवश्यक है कि एजेंट कभी क्रेडेंशियल को लोकली कैश न करें। $CRED{} हैंडल पैटर्न इसे स्ट्रक्चरली एन्फोर्स करता है।
प्रति-एजेंट रोटेशन स्कोप
प्रति-एजेंट क्रेडेंशियल स्कोपिंग रोटेशन को ऑर्थोगोनल बनाती है: एजेंट A के क्रेडेंशियल रोटेट करना एजेंट B को प्रभावित नहीं करता। कई विशेष एजेंट्स को चेन करने वाले एजेंटिक वर्कफ्लो डिज़ाइन के लिए, यह ज़ीरो-डाउनटाइम क्रेडेंशियल हाइजीन के लिए आवश्यक है।
एजेंट्स के बीच क्रेडेंशियल आइसोलेशन
प्रति-एजेंट क्रेडेंशियल असाइनमेंट
फ्लीट में हर एजेंट को केवल वही क्रेडेंशियल रखने चाहिए जो उसके विशिष्ट कार्य के लिए आवश्यक हों। प्रति-एजेंट क्रेडेंशियल असाइनमेंट के लिए ऑर्केस्ट्रेशन लेयर को स्कोपिंग एन्फोर्स करनी होती है। OWASP LLM06 स्पष्ट रूप से ओवर-प्रोविज़न किए गए एजेंट क्रेडेंशियल को क्रेडेंशियल लीकेज इंसीडेंट का योगदान कारक बताता है।
MCP टूल सर्वर क्रेडेंशियल स्कोपिंग
OpenLegion में, MCP सर्वर क्रेडेंशियल उसी Vault में स्टोर किए जाते हैं और उसी प्रॉक्सी पैटर्न के माध्यम से इंजेक्ट किए जाते हैं। MCP टूल सर्वर मेश प्रॉक्सी से ऑथेंटिकेटेड रिक्वेस्ट प्राप्त करते हैं, एजेंट से रॉ क्रेडेंशियल नहीं। पूर्ण Model Context Protocol सिक्युरिटी हार्डनिंग मॉडल के लिए, डेडिकेटेड गाइड देखें।
एजेंट रिटायरमेंट पर क्रेडेंशियल रिवोकेशन
OpenLegion का मेश स्वचालित रूप से इसे हैंडल करता है: जब एजेंट आर्काइव होता है, मेश उस एजेंट के स्कोप से जुड़े सभी क्रेडेंशियल हैंडल को रिवोक करता है। AI एजेंट ऑर्केस्ट्रेशन सिस्टम के लिए, क्रेडेंशियल रिवोकेशन एक फर्स्ट-क्लास लाइफसाइकिल इवेंट होना चाहिए।
ऑडिट ट्रेल और क्रेडेंशियल एक्सेस लॉगिंग
हर क्रेडेंशियल एक्सेस इवेंट को एजेंट ID, हैंडल नाम (रिज़ॉल्व्ड वैल्यू नहीं), टाइमस्टैम्प, टार्गेटेड एक्सटर्नल एंडपॉइंट और रिज़ल्ट के साथ लॉग एंट्री प्रोड्यूस करनी चाहिए। वास्तविक क्रेडेंशियल वैल्यू को कभी लॉग नहीं करना चाहिए।
OpenLegion का ऑर्केस्ट्रेटर यूनिफाइड इवेंट स्ट्रीम में टूल कॉल और क्रेडेंशियल रिज़ॉल्यूशन लॉग करता है। फोरेंसिक विश्लेषण सीक्वेंस रिप्ले कर सकता है: टास्क प्राप्त -> LLM कॉल -> टूल चुना -> क्रेडेंशियल रिज़ॉल्व -> एक्सटर्नल API कॉल -> रिस्पॉन्स प्राप्त। AI एजेंट प्लेटफॉर्म निर्णयों के लिए, ऑडिट लॉग आर्किटेक्चर एक प्रमुख कम्प्लायंस विचार है।
एजेंट प्लेटफॉर्म के लिए सीक्रेट बैकएंड चुनना
HashiCorp Vault (35,763 स्टार, BSL, v2.0.2 5 जून 2026 को रिलीज़): रेफरेंस ओपन-सोर्स सीक्रेट मैनेजमेंट सिस्टम। नोट: HashiCorp ने अगस्त 2023 में OSI-अप्रूव्ड Apache 2.0 लाइसेंस से BSL में स्विच किया - BSL OSI-अप्रूव्ड ओपन-सोर्स लाइसेंस नहीं है।
Infisical (27,296 स्टार, MIT लाइसेंस कोर, ओपन-सोर्स TypeScript): 2023 में $2.8M सीड फंडिंग के साथ Vault का लाइटवेट ऑल्टरनेटिव।
क्लाउड-नेटिव (AWS/Azure/GCP): IAM सिस्टम के साथ नेटिव इंटीग्रेशन के साथ मैनेज्ड सीक्रेट स्टोरेज। OIDC वर्कलोड आइडेंटिटी क्लाउड-नेटिव डिप्लॉयमेंट के लिए बूटस्ट्रैप क्रेडेंशियल समस्या हल करती है।
अक्सर पूछे जाने वाले प्रश्न
AI एजेंट्स के लिए क्रेडेंशियल प्रबंधन क्या है?
AI एजेंट्स के लिए क्रेडेंशियल प्रबंधन उन इन्फ्रास्ट्रक्चर प्रथाओं का समूह है जो यह नियंत्रित करती हैं कि स्वायत्त एजेंट API कीज़, टोकन और सीक्रेट्स को कैसे प्राप्त करें, उपयोग करें, रोटेट करें और रिलीज करें। एजेंट ट्रेडिशनल एप्लिकेशन से अलग हैं क्योंकि वे स्वायत्त रूप से चलते हैं, प्रॉम्प्ट इंजेक्शन से कॉम्प्रोमाइज़ हो सकते हैं, विस्तृत लॉग प्रोड्यूस करते हैं, और मल्टी-इंस्टेंस फ्लीट के रूप में काम करते हैं। OWASP LLM Top 10 v1.1 (2025) सेंसिटिव इन्फॉर्मेशन डिस्क्लोजर (LLM06) को टॉप-10 थ्रेट्स में लिस्ट करता है।
AI एजेंट क्रेडेंशियल लीकेज से जुड़े CVE कौन से हैं?
CVE-2024-34359 (llama-cpp-python, CVSS 9.6) ने मॉडल लोडिंग पाइपलाइन में Jinja2 SSTI वल्नरेबिलिटी डॉक्युमेंट की। CVE-2025-29927 (Next.js, CVSS 9.1) ने दिखाया कि x-middleware-subrequest हेडर Next.js एप्लिकेशन में मिडलवेयर ऑथराइज़ेशन बाईपास कर सकता है, जिसमें AI एजेंट बैकएंड शामिल हैं। स्ट्रक्चरल समाधान सीक्रेट्स को एजेंट कंटेनर से पूरी तरह बाहर रखना है।
Vault-Proxy पैटर्न क्रेडेंशियल लीकेज को कैसे रोकता है?
Vault Proxy एजेंट API कॉल इंटरसेप्ट करता है, ओपेक क्रेडेंशियल हैंडल को नेटवर्क लेयर पर वास्तविक सीक्रेट से रिज़ॉल्व करता है, और ऑथेंटिकेटेड रिस्पॉन्स लौटाता है, क्रेडेंशियल कभी एजेंट के कंटेनर या कॉन्टेक्स्ट विंडो में प्रवेश नहीं करते। पूरी तरह कॉम्प्रोमाइज़ किए गए एजेंट कंटेनर को रॉ क्रेडेंशियल तक ज़ीरो एक्सेस है।
मल्टी-एजेंट सिस्टम में प्रति-एजेंट क्रेडेंशियल आइसोलेशन क्यों महत्वपूर्ण है?
मल्टी-एजेंट सिस्टम में, हर एजेंट का ब्लास्ट रेडियस उसके पास मौजूद क्रेडेंशियल से सीमित होता है। ऑर्केस्ट्रेशन लेयर में एन्फोर्स प्रति-एजेंट क्रेडेंशियल स्कोपिंग का मतलब है कि कॉम्प्रोमाइज़ रिसर्च एजेंट पब्लिशिंग एजेंट के राइट टोकन या डेटा एजेंट के डेटाबेस क्रेडेंशियल एक्सेस नहीं कर सकता। OWASP LLM06 ओवर-प्रोविज़न किए गए एजेंट क्रेडेंशियल को क्रेडेंशियल लीकेज इंसीडेंट का योगदान कारक पहचानता है।
OWASP AI एजेंट क्रेडेंशियल प्रबंधन के बारे में क्या कहता है?
OWASP Top 10 for LLM Applications v1.1 (अक्टूबर 2025) सेंसिटिव इन्फॉर्मेशन डिस्क्लोजर को LLM06 के रूप में लिस्ट करता है और क्रेडेंशियल लीकेज को मुख्य अटैक वेक्टर पहचानता है। गाइडेंस एजेंट कॉन्टेक्स्ट में प्लेनटेक्स्ट क्रेडेंशियल स्टोरेज से बचने, लीस्ट-प्रिविलेज क्रेडेंशियल स्कोपिंग लागू करने और इन्फ्रास्ट्रक्चर-लेयर कंट्रोल उपयोग करने की सलाह देता है।
OpenLegion MCP सर्वर चलाने वाले एजेंट्स के क्रेडेंशियल कैसे हैंडल करता है?
OpenLegion में, MCP टूल सर्वर क्रेडेंशियल उसी Vault में स्टोर और उसी प्रॉक्सी पैटर्न के माध्यम से इंजेक्ट किए जाते हैं। MCP सर्वर मेश प्रॉक्सी से ऑथेंटिकेटेड रिक्वेस्ट प्राप्त करते हैं, एजेंट से रॉ क्रेडेंशियल नहीं। कॉम्प्रोमाइज़ किया गया MCP सर्वर इनकमिंग रिक्वेस्ट से रॉ क्रेडेंशियल कलेक्ट नहीं कर सकता।
सीक्रेट रोटेशन क्या है और AI एजेंट्स को इसकी आवश्यकता क्यों है?
सीक्रेट रोटेशन शेड्यूल्ड या ट्रिगर-बेस्ड आधार पर क्रेडेंशियल को नए से बदलने और पुराने को इनवैलिड करने की प्रथा है। AI एजेंट्स को रोटेशन की आवश्यकता है क्योंकि वे लंबे समय तक चलते हैं, उस पूरी विंडो में संभावित लीकेज टार्गेट हैं, और टास्क के बीच आसानी से रिस्टार्ट नहीं किए जा सकते। Vault-Proxy पैटर्न हॉट रोटेशन को सपोर्ट करता है - रनिंग एजेंट कंटेनर को छुए बिना नए सीक्रेट इंजेक्ट करना - इसलिए रोटेशन एजेंट के लिए पारदर्शी है।
क्रेडेंशियल एक्सपोजर के बिना एजेंट फ्लीट बनाना
AI एजेंट फ्लीट में क्रेडेंशियल प्रबंधन की समस्या आर्किटेक्चरल है: यदि क्रेडेंशियल एजेंट कंटेनर में मौजूद हैं, तो वे लीक हो सकते हैं। CVE-2024-34359 और CVE-2025-29927 दिखाते हैं कि प्रमुख फ्रेमवर्क चलाने वाली अच्छी तरह रिसोर्सड टीमें भी यह एक्सपोजर प्रोड्यूस करती हैं। Vault-Proxy पैटर्न इसे स्ट्रक्चरली हल करता है - क्रेडेंशियल कभी एजेंट कंटेनर में प्रवेश नहीं करते।
OpenLegion का Vault-Proxy एजेंट मेश में बनाया गया है। $CRED{name} के साथ एक बार क्रेडेंशियल कॉन्फ़िगर करें, उन्हें उन एजेंट्स को असाइन करें जिन्हें उनकी आवश्यकता है, और मेश इंजेक्शन, TTL रिन्यूअल, प्रति-एजेंट स्कोपिंग और ऑडिट लॉगिंग हैंडल करता है।
OpenLegion पर Vault-Proxy क्रेडेंशियल आइसोलेशन के साथ अपने एजेंट फ्लीट को सुरक्षित करें