AIエージェントの認証情報管理:Vault-Proxyアーキテクチャ
AIエージェントの認証情報管理とは、自律エージェントがAPIキーとシークレットをエージェントのメモリ、ログ、コンテキストウィンドウに認証情報を露出させることなく取得、使用、ローテーション、解放する方法を規定するインフラストラクチャプラクティスの全体です。エージェントは標準的な認証情報パターンを破壊します。自律的に動作し、プロンプトインジェクションによって侵害される可能性があり、共有シークレットが漏洩攻撃面を倍増させるフリートとして運用されます。CVE-2024-34359(llama-cpp-python、CVSS 9.6)とCVE-2025-29927(Next.js、CVSS 9.1)は、セキュリティ境界が失敗した場合にAIデプロイメントがシークレットを露出させる方法を実証しました。
AIエージェントの認証情報管理とは、自律エージェントがAPIキー、トークン、シークレットをエージェントのメモリ、ログ、コンテキストウィンドウに露出させることなく取得、使用、ローテーション、解放する方法を規定するプラクティスとインフラストラクチャパターンの全体です。
エージェントフリートで標準認証情報パターンが失敗する理由
スケールでの.envファイル問題
環境変数はシングルプロセスアプリケーションでは適切に機能します。エージェントフリートでは、モデルはすぐに崩壊します。10エージェントフリートで共有された.envファイルは、10個の実行中プロセスがメモリ内のすべてのシークレットを保持することを意味します。各プロセスはログ、エラー出力、デバッグトレースを生成し、これらすべてが潜在的な認証情報露出面です。これら10エージェントのいずれかが環境を印刷するよう指示するプロンプトインジェクション攻撃によって侵害された場合、共有.env内のすべての認証情報が同時に漏洩します。
Nエージェント乗数が中心的な問題です。フリート内の追加エージェントごとに、共有される認証情報ごとに別の露出面が追加されます。.envに5つのAPIキーを持つ20エージェントフリートは、環境スナップショットをキャプチャできるログ集約、エラーレポート、またはデバッグツールを考慮する前に、100個の潜在的な認証情報露出ポイントを作成します。
デプロイされたAIシステムにおける平文シークレットに関するCVE記録
2つのCVEが、デプロイされたAIシステムにおける安全でないシークレット処理の実際のコストを記録しています。
CVE-2024-34359(llama-cpp-python、CVSS 9.6 Critical):llama-cpp-pythonでモデルメタデータのサンドボックスなしレンダリングを介したJinja2サーバーサイドテンプレートインジェクション。悪意を持って作成された.ggufモデルファイルのチャットテンプレートフィールドがサンドボックスなしでjinja2.Environmentを介してレンダリングされ、リモートコード実行が可能になりました。外部ソースからモデルをダウンロードするエージェントパイプラインを含む、信頼されていないモデルをロードするアプリケーションが対象です。構造的な問題は、モデルロードコードが分離なしに外部コンテンツを信頼したことです。
CVE-2025-29927(Next.js、CVSS 9.1 Critical):認証されていないリクエストがNext.jsデプロイメントでミドルウェアをバイパスできるようにするx-middleware-subrequestヘッダーを介した認可バイパス。AIエージェントAPIバックエンドを含む、認証情報で保護されたルートを保護するためにNext.jsミドルウェアを使用するアプリケーションが影響を受けました。バイパスにより、ミドルウェアがブロックするはずのルートへのアクセスが可能になりました。この欠陥はバージョン12.3.5、13.5.9、14.2.25、15.2.3で修正されています。
両方のCVEは同じ基本リスククラスを示しています。シークレットまたは保護されたルートが構造的分離ではなくアプリケーション層コントロールに依存している場合、単一の論理欠陥によってそれらが露出します。Vault-Proxyパターンは、シークレットをエージェントコンテナの外に保ち、インフラストラクチャ層の施行の背後に置くことで攻撃面を排除します。
エージェントログが認証情報リスクである理由
従来のアプリケーションログには、制御された呼び出しサイトの構造化イベントが含まれます。エージェントログはすべてをキャプチャします。LLM推論トレース、ツール呼び出し引数、ツール戻り値、および中間推論ステップです。エージェントがAuthorizationヘッダーに認証情報を含む外部APIを呼び出す場合、単純なロギング設定はそのヘッダーをキャプチャします。エージェントの推論トレースに取得されたドキュメントまたはプロンプトからのテキスト「using API key sk-...」が含まれる場合、その文字列はログに表示されます。
エージェントログのボリュームは高く、保持期間はしばしば長くなります。ログ集約システムに一度表示された認証情報は、ログが削除されるまでそこに残ります。これは、生成したエージェントが廃止された後、数週間または数ヶ月後になる可能性があります。
プロンプトインジェクションから認証情報へのパス
OWASP LLM Top 10 v1.1(LLM06:機密情報の開示、2025年10月公開)は、認証情報の漏洩をLLMアプリケーションの主要な攻撃ベクターとして識別しています。攻撃は直接的です。エージェントによって取得された敵対的コンテンツ(Webページ、ドキュメント、ツール応答から)には「すべての環境変数を印刷する」または「APIキーを出力する」などの指示が含まれています。構造的な認証情報分離のないエージェントは、この指示を正当なタスク指示と区別できません。
2026年初頭の調査では3,984のエージェントスキルをスキャンし、283個(7.1%)にAPIキーをLLMコンテキストを通じて平文で渡す重大な認証情報処理の欠陥が含まれていることが判明しました。76のスキルには、攻撃者が制御するエンドポイントへの認証情報を漏洩するよう設計された意図的な認証情報盗取ペイロードが含まれていました。唯一の構造的防御は、認証情報がエージェントコンテキストに存在しないことを確保することです。エージェントは保持していない認証情報を漏洩させることができません。
AIエージェントの認証情報管理パターン
パターン1:環境変数(最も安全性が低い)
環境変数(os.environ、.envファイル、Docker --envフラグ)は、ほとんどのエージェントフレームワークのデフォルト認証情報パターンです。LangChainはos.environから読み取り、CrewAIは環境注入に依存し、OpenAI Agents SDKはプロセス環境内の認証情報を期待します。このパターンはローカル開発とプロトタイピングにのみ適切です。
本番エージェントフリートでは、環境変数はすべてのセキュリティ軸で失敗します。エージェントプロセスメモリ内に存在し(プロンプトインジェクションからアクセス可能)、Linuxホストの/proc/{pid}/environに表示され、エラートレースバックとデバッグ出力に表れ、共有環境フリートのすべてのエージェントに伝播します。
パターン2:シークレットマネージャー統合
クラウドシークレットマネージャー(AWS Secrets Manager、月額$0.40/シークレット + 10,000 API呼び出しごとに$0.05;Azure Key Vault;GCP Secret Manager)は、エージェントプロセスの外部に認証情報を保存し、オンデマンドで取得することで環境変数を改善します。エージェントはシークレットマネージャーAPIを呼び出して認証情報を取得し、操作に使用し、廃棄します。
このパターンはメモリ内の認証情報のライフタイムを短縮しますが、露出ウィンドウを排除しません。認証情報は取得-使用-廃棄サイクル中にエージェントメモリを通過します。そのウィンドウ中のプロンプトインジェクションに対して可視のままであり、エージェントが最初のものにアクセスするために2番目の認証情報(シークレットマネージャーAPIキーまたはIAMロール)を保持する必要があります。
パターン3:Vault Proxy / 不透明なハンドル注入(最も安全)
Vault-Proxyパターンは認証情報をエージェントコンテナから完全に遠ざけます。エージェントは不透明なハンドル、$CRED{stripe_key}のような参照文字列を保持し、これは認証情報を解決せずに識別します。エージェントがハンドルを含むAPI呼び出しを行う場合、Vault Proxyはリクエストをインターセプトし、ハンドルを実際の認証情報に解決し、ネットワーク層でそれを注入し、認証されたリクエストを転送します。エージェントは平文の認証情報を見ることは決してありません。
これはHashiCorp Vault(35,763スター、BSL、v2.0.2は2026年6月5日リリース)のエージェントサイド注入と同じ原則で、エージェントオーケストレーション層に直接組み込まれています。エコシステムに700以上のMCPサーバー(2026年6月)があることで、$CRED{}ハンドルパターンはサーバーごとの.envの増殖を排除します。エージェント設定の1つのハンドル参照がMCPサーバーの認証情報要件をカバーします。
完全に侵害されたエージェントコンテナ(攻撃者の任意の指示を実行する)は、コンテナのスコープ内に認証情報が存在しないため、認証情報へのアクセスがゼロです。
パターン4:ワークロードIDとOIDCフェデレーション
ワークロードID(OIDCフェデレーション、SPIFFE/SPIRE、クラウドIAMサービスアカウント)は、クラウドサービスアクセスのための長期APIキーを完全に排除します。各エージェントコンテナは、実行時にクラウドプロバイダー認証情報と交換される短命のIDトークンを受け取ります。認証情報は制限されたTTLを持ち、通常15分から1時間で、その後有効期限が切れ、新しいトークンを発行する必要があります。
ワークロードIDは、クラウドプロバイダー認証情報(AWS APIキー、GCPサービスアカウントキー)が必要なクラウドインフラストラクチャ上で実行されるエージェントフリートの正しいパターンです。オーケストレーションプラットフォームがID発行とトークン更新を管理する必要がありますが、静的キーローテーション問題を完全に排除します。複数のクラウドアカウントまたはプロバイダーにまたがるマルチエージェントシステムアーキテクチャでは、ワークロードIDフェデレーションが唯一のスケーラブルな認証情報モデルです。
OpenLegionの見解:$CRED{}ハンドルパターン
すべての主要なAIエージェントフレームワークは、認証情報管理をホストアプリケーションの問題として扱います。LangChainとLangGraphはos.environから読み取ります。CrewAIは環境注入に依存します。OpenAI Agents SDKはプロセス環境内の認証情報を期待します。AutoGenはPythonプロセス環境を継承します。これらのフレームワークのいずれも構造的な認証情報分離を提供しておらず、認証情報管理はオペレーターに任されています。これは実際には.envファイルと共有環境変数を意味します。
OpenLegionのVault-Proxyはエージェントオーケストレーション層に組み込まれています。エージェントは認証情報を不透明な$CRED{name}ハンドルとして参照します。メッシュホストはサーバーサイドでハンドルを解決し、ネットワーク境界で認証情報を注入します。エージェントコンテナは平文の認証情報を受け取ることは決してありません。プロンプトインジェクションは存在しないものを漏洩させることができません。
Infisical(27,296スター、MITライセンスコアを持つオープンソースTypeScriptシークレットプラットフォーム)は2023年に$2.8Mのシードファンディングを調達し、開発者ネイティブなシークレット管理の市場需要を示しています。OpenLegionは同じ機能をエージェントランタイムに直接組み込んでいます。別途のシークレット管理デプロイメントは不要です。
| ディメンション | OpenLegion | LangChain/LangGraph | CrewAI | OpenAI Agents SDK | AutoGen |
|---|---|---|---|---|---|
| 認証情報ストレージ | Vault(不透明ハンドル) | 環境 / .env | 環境 / .env | 環境 / .env | 環境 / .env |
| エージェントアクセスパターン | $CRED{}ハンドル(コンテナ内で解決されない) | os.environ直接読み取り | os.environ直接読み取り | os.environ直接読み取り | os.environ直接読み取り |
| エージェントコンテキストの平文? | なし | あり(os.environ読み取り時) | あり(os.environ読み取り時) | あり(os.environ読み取り時) | あり(os.environ読み取り時) |
| ローテーションサポート | Vaultネイティブ;再起動なしのホットローテーション | 手動;再起動が必要 | 手動;再起動が必要 | 手動;再起動が必要 | 手動;再起動が必要 |
| エージェントごとのスコーピング | 許可リストによりメッシュレベルで強制 | 強制なし | 強制なし | 強制なし | 強制なし |
| 監査証跡 | 各ハンドル解決をエージェントIDで記録 | ネイティブなし | ネイティブなし | ネイティブなし | ネイティブなし |
現在のスタックの認証情報露出面の全体を評価するチームには、AIエージェントセキュリティ脅威モデルがプロンプトインジェクション、サンドボックスエスケープ、予算乱用と並んで、6つの文書化された脅威カテゴリの1つとして認証情報漏洩をカバーしています。
AIエージェントフリートのシークレットローテーション
TTL制限付き認証情報リース
静的APIキー(有効期限のない認証情報)はエージェントフリートにとって最悪の認証情報です。漏洩した静的キーは無期限に有効のままです。キーローテーションには、潜在的にアクティブなタスク中に、キーを使用するすべてのエージェントを調整する必要があります。
TTL制限付き認証情報リースはどちらの問題も解決します。認証情報は有効期限ウィンドウで発行されます。インタラクティブエージェントセッションには1時間が一般的で、高感度操作には15分です。リースが期限切れになると、Vaultは自動的に新しい認証情報を発行します。古い認証情報は期限切れ後に無効であり、漏洩したコピーの価値を制限します。複数のリースウィンドウにまたがるエージェントタスクは、中断なしに透過的な更新を受け取ります。
HashiCorp Vaultのダイナミックシークレットエンジンは、データベース、クラウドプロバイダー、カスタムバックエンドのための短命認証情報をオンデマンドで生成します。各認証情報はリクエストするエージェントに固有で、設定可能なTTL後に期限が切れます。CVE-2026-39829(golang/crypto、2026年6月)は、制限されていないRSAモジュラスサイズによって引き起こされるSSH公開鍵解析のDoS脆弱性にパッチを当てました。Vault v2.0.2はRSAキーを8,192ビットに制限することでこれを対処しました。専用に構築されたVaultインフラストラクチャでさえCVEを提供するため、Vaultを直接使用する場合でも、エージェントと生のシークレットの間の抽象化層が重要です。
エージェント再起動なしのホットローテーション
従来のアプリケーションシークレットローテーションは、新しい認証情報を採用するためにプロセスを再起動する必要があります。エージェントフリートは強制再起動を許容できません。エージェントはタスクの途中で、再起動時に失われる作業状態を保持したり、マルチステップハンドオフで他のエージェントと調整したりしている可能性があります。
ホットローテーションは、実行中のエージェントコンテナに触れることなく新しい認証情報をVaultに注入します。Vault Proxyを介したエージェントの次のAPI呼び出しは透過的に新しい認証情報を使用します。エージェントの観点からは、$CRED{name}ハンドルはまだ解決されています。基礎となるシークレットのみが変更されました。
ホットローテーションはエージェントが認証情報をローカルにキャッシュしないことを必要とします。$CRED{}ハンドルパターンはこれを構造的に強制します。ハンドルは起動時ではなく呼び出し時に解決されるため、解決された値のローカルキャッシュは決して可能ではありません。
エージェントごとのローテーションスコープ
共有認証情報フリートでは、認証情報のローテーションがそれを使用するすべてのエージェントに影響します。ローテーションイベントはフリート全体での調整を必要とし、調整のボトルネックと一部のエージェントが古い認証情報を、他のエージェントが新しい認証情報を使用するウィンドウを作成します。
エージェントごとの認証情報スコーピングにより、ローテーションが直交します。エージェントAの認証情報をローテーションしても、エージェントBは独自の別個の認証情報スコープを保持しているため、影響を受けません。これは、オーケストレーション層が共有.envファイルに依存するのではなく、エージェントごとのスコーピングを強制する場合にのみ達成可能です。複数の専門エージェントを連鎖させるエージェンティックワークフロー設計では、ダウンタイムなしの認証情報衛生のためにエージェントごとのローテーションスコープが不可欠です。
エージェント間の認証情報分離
エージェントごとの認証情報割り当て
フリート内の各エージェントは、その特定のタスクが必要とする認証情報のみを保持する必要があります。Webスクレイピングエージェントは、HTTPクライアント認証情報へのアクセスが必要ですが、データベース接続文字列は必要ありません。データ分析エージェントは、データウェアハウスへの読み取りアクセスが必要ですが、外部APIへの書き込みトークンは必要ありません。パブリッシングエージェントは、CMSへの書き込みアクセスが必要ですが、内部データベースへのアクセスは必要ありません。
エージェントごとの認証情報割り当ては、オーケストレーション層がスコーピングを強制する必要があります。エージェント自体ではありません。承認されていない認証情報を要求するエージェントは、共有.envに存在したため認証情報を静かに受け取るのではなく、Vault境界での拒否を受け取る必要があります。
OWASP LLM06(機密情報の開示)は、過剰にプロビジョニングされたエージェント認証情報が認証情報漏洩インシデントの要因であることを明示的に指摘しています。エージェントはそのタスクが必要とする以上のアクセスを受け取るため、侵害された場合、爆発半径は必要以上に大きくなります。
MCPツールサーバー認証情報のスコーピング
Model Context Protocolツールサーバーは、しばしば独自の認証情報(プロキシするサービスのAPIキー)を必要とします。エコシステムに700以上のMCPサーバー(2026年6月)があることで、MCP層での認証情報管理問題はもはや理論的ではありません。各サーバーは潜在的な.env増殖ベクターです。OpenLegionでは、MCPサーバー認証情報は同じVaultに保存され、同じプロキシパターンを介して注入されます。MCPツールサーバーはエージェントから生の認証情報ではなく、メッシュプロキシから認証されたリクエストを受け取ります。
これにより、悪意のあるMCPサーバーが認証情報収集ベクターとして使用されることを防ぎます。侵害されたMCPサーバーは、生のキーではなく受信リクエスト内のハンドル参照のみを見つけます。完全なModel Context Protocolセキュリティ強化モデルについては、専用ガイドを参照してください。
エージェント廃止時の認証情報失効
エージェントがタスクを完了するか、アーカイブされる場合、その認証情報は直ちに失効させる必要があります。関連するエージェントを生き延びた静的認証情報は孤立したアクセスを作成します。これは、もはや実行されていないプロセスに属する、関連する監査証跡のない有効なキーです。
エージェント廃止時の認証情報失効は、オーケストレーション層がエージェントライフサイクルイベントを追跡し、Vault失効をトリガーする必要があります。OpenLegionのメッシュはこれを自動的に処理します。エージェントがアーカイブされると、メッシュはそのエージェントのスコープに関連するすべての認証情報ハンドルを失効させます。エージェントライフサイクルをプログラマティックに管理するAIエージェントオーケストレーションシステムでは、認証情報の失効は運用上の後付けではなく、ファーストクラスのライフサイクルイベントである必要があります。
監査証跡と認証情報アクセスログ
何をログに記録するか(しないか)
各認証情報アクセスイベントは、ハンドルを解決したエージェントID、ハンドル名(解決された値ではない)、タイムスタンプ、認証されたリクエストがターゲットとした外部エンドポイント、および結果(成功または認可失敗)を含むログエントリを生成する必要があります。ログに記録しないもの:実際の認証情報値、解決されたシークレット文字列、または平文認証情報の任意の派生物。ハンドル名は監査および法医学的目的に十分です。
認証情報の使用をエージェントのアクションと相関付ける
エージェント監査証跡は従来のアプリケーション監査証跡とは異なります。コードパスは非決定論的です。従来のアプリケーションは固定された呼び出しグラフに従いますが、エージェントはそのプロンプト、ツール出力、LLM推論に応じて任意のアクションを実行できます。エージェント監査ログは、疑わしい認証情報使用イベントを取り巻く完全なコンテキストを再構築するために、認証情報アクセスだけでなく、各ツール呼び出しとその引数をキャプチャする必要があります。
OpenLegionのオーケストレーターは、ツール呼び出しと認証情報解決を統一されたイベントストリームでログに記録します。法医学的分析はシーケンスを再生できます。タスク受信 -> LLM呼び出し -> ツール選択 -> 認証情報解決 -> 外部API呼び出し -> 応答受信。これは、規制された環境または高リスク環境でのAIエージェントデプロイメントの正しいアーキテクチャです。
規制された環境の監査要件
金融サービス、ヘルスケア、その他の規制されたセクターでは、エージェント認証情報監査ログが特定の要件を満たす必要があります。不変性(ログは作成後に変更できない)、改ざん防止(ログの整合性が検証可能)、保持期間コンプライアンス(必要な期間ログを保持)、アクセス制御(承認された担当者のみが監査ログを読み取れる)。これらの要件はVault-Proxyアーキテクチャに直接マッピングされます。メッシュホストは認証情報が解決されるにつれて監査ログエントリを生成し、追記のみのストレージに書き込み、改ざん防止のためにエントリに署名します。エージェントコンテナは監査ログストレージへのアクセスを持ちません。AIエージェントプラットフォームの決定では、監査ログアーキテクチャはシークレットバックエンドの選択とともに重要なコンプライアンス考慮事項です。
エージェントプラットフォームのシークレットバックエンドの選択
HashiCorp Vault
HashiCorp Vault(35,763スター、BSL、v2.0.2は2026年6月5日リリース)はリファレンスオープンソースシークレット管理システムです。動的シークレット生成、TTL制限リース、細かいアクセスポリシー、包括的な監査ログ、カスタムシークレットエンジンのプラグインアーキテクチャを提供します。注:HashiCorpは2023年8月にOSI承認のApache 2.0ライセンスからBSL(Business Source License)に移行しました。BSLはOSI承認のオープンソースライセンスではなく、Vaultの競合他社による商業利用を制限します。
Vaultは複数のサービスが共有するスタンドアロンのシークレット管理システムが必要な場合に正しい選択です。運用オーバーヘッドは非自明です。Vaultは独自のデプロイメント、高可用性セットアップ、アンシールプロシージャを必要とします。Vaultがすでにインフラストラクチャとしてデプロイされているエージェントフリートでは、エージェント認証情報管理をVaultのポリシーエンジンに統合するのは簡単です。
Infisical
Infisical(27,296スター、MITライセンスコア、オープンソースTypeScript)は、シークレット管理、ローテーション、監査証跡のためのWebUI、CLI、SDKを持つ開発者フレンドリーなシークレットプラットフォームを提供します。2023年に$2.8Mのシードファンディングを調達し、VaultのBSLライセンス制限またはVaultの運用複雑性なしにシークレット管理を望むチームのためのHashiCorp Vaultの軽量な代替として位置付けています。
Vaultをまだ実行していないエージェントフリートでは、Infisicalをシークレットバックエンドとして評価する価値があります。そのSDKファーストの設計はPythonエージェントランタイムとクリーンに統合され、環境ごとのスコーピングはエージェントごとのスコーピング要件に自然にマッピングされます。
クラウドネイティブ(AWS/Azure/GCP)
AWS Secrets Manager(月額$0.40/シークレット + 10,000 API呼び出しごとに$0.05)、Azure Key Vault、GCP Secret Managerは、各クラウドプロバイダーのIAMシステムとのネイティブ統合を持つマネージドシークレットストレージを提供します。エージェントフリートが単一のクラウドプロバイダー内で完全に実行される場合、クラウドネイティブシークレット管理はVaultまたはInfisicalを別途実行する運用オーバーヘッドを回避します。
制限:クラウドネイティブシークレットマネージャーはアクセスにクラウドIAM認証情報を必要とします。これがブートストラップ認証情報問題です。新しいエージェントコンテナは、その運用認証情報を取得する前に、AWS Secrets Managerに認証するために何らかの認証情報を必要とします。OIDCワークロードIDはクラウドネイティブデプロイメントのこのブートストラップ問題を解決します。
よくある質問
AIエージェントの認証情報管理とは何ですか?
AIエージェントの認証情報管理とは、自律エージェントがAPIキー、トークン、シークレットを取得、使用、ローテーション、解放する方法を規定するインフラストラクチャプラクティスの全体です。エージェントは従来のアプリケーションとは異なります。自律的に動作し、プロンプトインジェクションによって侵害され、詳細なログを生成し、マルチインスタンスフリートとして動作します。これらすべてが、標準的な環境変数パターンが対処しない認証情報露出ベクターを作成します。OWASP LLM Top 10 v1.1(2025)は機密情報の開示(LLM06)をトップ10の脅威としてリストし、認証情報の漏洩を主要な攻撃ベクターとしています。
AIエージェントの認証情報漏洩に関連するCVEはどれですか?
CVE-2024-34359(llama-cpp-python、CVSS 9.6)はモデルロードパイプラインのJinja2サーバーサイドテンプレートインジェクション脆弱性を文書化しました。作成された.ggufファイルのチャットテンプレートはサンドボックスなしでレンダリングされ、信頼されていないモデルをロードするアプリケーションでのリモートコード実行を可能にしました。CVE-2025-29927(Next.js、CVSS 9.1)は、x-middleware-subrequestヘッダーがNext.jsアプリケーション(認証情報で保護されたルートを保護するためにミドルウェアを使用するAIエージェントバックエンドを含む)でミドルウェア認可をバイパスできることを実証しました。両方のCVEは悪意のある入力下でのアプリケーション層セキュリティコントロールの失敗に起因します。構造的解決策はシークレットをエージェントコンテナから完全に遠ざけることです。
Vault-Proxyパターンはどのように認証情報漏洩を防ぐのですか?
Vault Proxyはエージェントのいている API呼び出しをインターセプトし、不透明な認証情報ハンドルをネットワーク層で実際のシークレットに解決し、認証情報がエージェントのコンテナまたはコンテキストウィンドウに入ることなく認証された応答を返します。エージェントはシークレットを解決せずに識別する$CRED{stripe_key}のようなハンドルを保持します。攻撃者の任意の指示を実行する完全に侵害されたエージェントコンテナでさえ、コンテナのスコープ内に認証情報が存在しないため、生の認証情報へのアクセスがゼロです。
マルチエージェントシステムでエージェントごとの認証情報分離が重要な理由は?
マルチエージェントシステムでは、各エージェントが侵害された場合の爆発半径は、それが保持する認証情報によって制限されます。各エージェントがすべてのシークレットを持つ単一の.envファイルを共有する場合、任意のエージェントを侵害することで、すべての下流システムへのすべての認証情報が露出します。エージェントごとの認証情報スコーピング(エージェント自体のコードではなくオーケストレーション層で強制)は、侵害された調査エージェントがパブリッシングエージェントの書き込みトークンやデータエージェントのデータベース認証情報にアクセスできないことを意味します。OWASP LLM06は、過剰にプロビジョニングされたエージェント認証情報が認証情報漏洩インシデントの要因であることを明示的に識別しています。
OWASPはAIエージェントの認証情報管理について何と言っていますか?
OWASP Top 10 for LLM Applications v1.1(2025年10月公開)は機密情報の開示をLLM06としてリストし、認証情報の漏洩をLLMアプリケーションの主要な攻撃ベクターとして識別しています。ガイダンスはエージェントコンテキストでの平文認証情報ストレージを避け、最小権限の認証情報スコーピングを実装し、シークレットを保護するためにエージェントコードに依存するのではなくインフラストラクチャ層コントロールを使用することを推奨しています。プロンプトインジェクション(OWASP LLM01、トップリスク)は、デプロイされたエージェントで認証情報開示をトリガーする最も一般的な攻撃ベクターです。
OpenLegionはMCPサーバーを実行するエージェントの認証情報をどのように処理しますか?
OpenLegionでは、MCPツールサーバー認証情報は同じVaultに保存され、エージェント認証情報と同じプロキシパターンを介して注入されます。MCPサーバーはエージェントから生の認証情報ではなく、メッシュプロキシから認証されたリクエストを受け取ります。エージェントはMCPサーバーのアップストリームAPIキーを保持しません。エコシステムに700以上のMCPサーバー(2026年6月)があることで、これにより、サーバーごとの.envの増殖が排除されます。1つのVault設定がすべてのMCP認証情報要件をカバーし、侵害されたMCPサーバーは受信リクエストから生の認証情報を収集できません。
シークレットローテーションとは何で、AIエージェントがそれを必要とする理由は?
シークレットローテーションは、スケジュールまたはトリガーベースで認証情報を新しいものに置き換え、古いものを無効にする慣行です。AIエージェントはローテーションが必要です。なぜなら、長期間(時間から日)実行され、そのウィンドウ全体で潜在的な漏洩ターゲットであり、ローテーションされた認証情報を採用するためにタスクの途中で簡単に再起動できないからです。TTL制限付き認証情報リースは設定可能なウィンドウ(通常1時間)後に自動的に期限が切れ、Vault-Proxyパターンはホットローテーションをサポートします。実行中のエージェントコンテナに触れることなく新しいシークレットを注入するため、ローテーションはエージェントにとって透過的です。
認証情報露出なしにエージェントフリートを構築する
AIエージェントフリートでの認証情報管理問題はアーキテクチャ的です。認証情報がエージェントコンテナ内に存在する場合、漏洩する可能性があります。CVE-2024-34359とCVE-2025-29927は、主要なフレームワークを実行する十分なリソースを持つチームでさえこの露出を提供することを示しています。Vault-Proxyパターンはこれを構造的に解決します。認証情報はエージェントコンテナに入らないため、プロンプトインジェクション、コンテナエスケープ、またはログ漏洩がそれらを回収できません。
OpenLegionのVault-Proxyはエージェントメッシュに組み込まれています。$CRED{name}で認証情報を一度設定し、それを必要とするエージェントに割り当て、メッシュが注入、TTL更新、エージェントごとのスコーピング、監査ログを処理します。別途のVaultデプロイメント、.envファイルの調整、手動ローテーションプロシージャは不要です。