Show HN: OneCLIがAIエージェントの前段に置くRust製シークレット管理

OneCLIは、「AIエージェントに本物のAPIキーを持たせている」という運用上の危うさを正面から扱うShow HNプロジェクトだ。考え方は明快で、実際の認証情報は暗号化されたvaultに保存し、エージェントにはプレースホルダーのキーだけを渡す。プロキシが送信先のホストやパスを確認し、許可された場合にだけ本物のcredentialへ差し替えて転送する。

作者の説明では、プロキシはRust製、ダッシュボードはNext.js製で、シークレットはAES-256-GCMで保存時に暗号化される。デプロイも単一のDockerコンテナと組み込みのPGlite/Postgresで完結できるという。要するに、エージェントにはツール利用の権限を与えつつ、秘密そのものはモデルの実行文脈の外に置こうという提案だ。

Hacker Newsでは問題設定そのものには共感が集まった一方、議論はすぐに実運用の難しさへ進んだ。auth proxy、STS、既存vault製品で近いことは以前からできる、という指摘があり、さらにHTTP_PROXYを無視するframework、AWSのSigV4再署名、エージェントがプロキシ内部の鍵を読めないようにsandbox外へ信頼境界を置く必要性など、実装上の論点も多く出た。

そのためOneCLIの価値は、「AI時代に全く新しいsecurity primitiveを作った」というより、既存の安全策をagent workflow向けにまとめ直そうとしている点にある。今後この種のツールは、vaultという抽象そのものよりも、policy enforcement、audit、identity binding、framework互換性で評価されるだろう。

それでもテーマは重要だ。エージェント安全性はprompt injectionや出力制御だけではなく、どの秘密をどこまで見せるのか、事故時のblast radiusをどう抑えるのかという運用設計の問題でもある。原典: GitHub。コミュニティ反応: Hacker News。