AIエージェントに認証情報を安全に渡したい：1Passwordで試して、用途で使い分けに着地した話 - プログラマでありたい

Claude Code のような AI エージェントに本格的に作業を任せようとすると、AWS の操作、外部 API への呼び出し、決済処理など、認証情報を渡す場面が増えてきます。 ただし、AI に認証情報をそのまま読める状態で渡すのは危険です。bash 経由で外に出されたり、ログに残ったり、indirect prompt injection で使えと命令されたりすれば、秘密値はあっさり漏れます。 そこで、AI には認証情報そのものを渡さず、必要な操作だけを実行させる仕組みを作れないかと考え始めました。設計の選択肢を整理すると、AI への認証情報の渡し方は大きく4段階に分かれます。 AIエージェントへの認証情報の渡し方（4段階モデル） ①は AI 自身が .env を読む状態で、漏洩リスクが最大。④は IAM role や Bedrock のように、AI が秘密値を一度も見ず SDK が裏で

[dkfj]

ローカル環境で安全にAIエージェントにクレデンシャルを渡す方法をパターン化しました。その一つの実装例です

[mayumayu_nimolove]

と言うかOpenAIもAnthropicもドキュメントに書いてあるよ。

[hogetax]

agentに認証情報を渡したい時ってどんなケースがあるんだろう？.envに設定があるかどうかを検証するのは別の方法の方が筋が良さそう。ホントに値が必要であれば、記事のやり方だと無理な気がする

[solidstatesociety]

付き添い駆動

[soratomo]

リスクを分散させる意味では有用だし、長い実績あるもんなあ。

[sonots]

究極 .env にせよ 1password にせよ、プロンプトインジェクションのリスクもあるAIエージェントに預けるの怖いって話になっちゃうのよな

[mohno]

Claudeに限らないんだが、ブラウザで自動化するためのアカウント情報とか、決済情報とか、たとえローカルでも渡したくない。（自作プログラムでも青天井の設定にしたことはない）　こんな時代に生まれなくてよかった。

[getcha]

どっちかというと、1Password で管理しなきゃいけない情報を AI に渡している時点で、このリスクは背負いきれるのか。という事を考えるべきかなと思っている。

[ishn]

決済情報レベルのことやSDKを触り始める段階は、権限を持った決定論的なシステムを作って Skill や Hook のように操作するほうが筋が良い気はする

[nguyen-oi]

プロンプトインジェクションで秘密情報がガバるリスクを考えると、AIにどこまで権限渡すか悩みどころだわな

[kijtra]

AIを「エージェント」と見るなら、ヒトと同様にある程度は信頼するしかないってことかな…