业界一直在回避一个问题:如何给 Agent 安全访问服务的权限,但不让他们读到底层密钥?
今天 Infisical 给出了答案:开源 Agent Vault。
credential proxy 架构
传统模式:Agent 持有 API_KEY=sk-xxx,需要什么全暴露给它。
问题:Agent 可以读到这个 key、复制它、发给第三方、在日志里打印它、在错误消息里泄露它。安全事件本质上是工程问题,但靠 Prompt 约束 Agent 行为是不可靠的——LLM 不是确定性系统。
Agent Vault 的解法是把 Agent 和密钥的接触点彻底切断:
- Agent 向 Agent Vault 发起请求,说明想做什么
- Agent Vault 持有原始密钥,向目标服务进行身份验证
- Agent Vault 生成一张临时的、范围精确的凭证(credential),发给 Agent
- Agent 拿这张凭证去访问目标服务
- 凭证过期后自动失效,Agent 无法继续使用
密钥从未离开 vault。Agent 从未看到过它们。
这类似 OAuth 的 token exchange 机制,但专为 Agent 场景设计。Agent 拿到的是有时效的、受限的、一次性的 credential,而不是静态密钥。
credential proxy 的工程优势
credential proxy 架构不只是安全,还改变了运维:
- 即时吊销:密钥轮换不需要重新部署 Agent,只需要更新 vault
- 最小权限:每次请求可以精确限定 scope,Agent 只能访问它实际需要的那个端点
- 审计完整:所有 credential 请求都经过 vault,日志完整、可查、可追溯
- 消除密钥 sprawl:Agent 不再存储静态密钥,密钥只存在于 vault 中
开源背景
Agent Vault 是 Infisical 25k GitHub Star 生态的一部分。Infisical 从 Secret 管理工具演进为身份安全平台,覆盖 secrets、PKI、PAM 和 AI Agent 安全。Elad Gil 领投了其 $16M Series A,这个方向被他认可不是偶然。
Agent Vault 适合的场景:所有需要给 AI Agent 授权访问外部服务的系统,尤其是:
- 访问云服务商 API(AWS、GCP、Azure)
- 访问数据库
- 访问第三方 SaaS(GitHub、Slack、Notion)
- 任何需要 API Key 或 Service Account 的地方
密钥安全不是"管好别丢",是从架构上让泄漏变得不可能。