HN を表示: OneCLI – Rust の AI エージェント用のボールト

OneCLI の紹介: AI エージェント ワークフローの保護

AI エージェントの台頭により、インテリジェントなアシスタントが私たちに代わって複雑なワークフローを実行し、データを管理し、無数の API と対話できる自動化の新時代が約束されています。しかし、この強力な新しいパラダイムは、機密管理という重大な脆弱性をもたらします。 API キー、データベース パスワード、その他の機密認証情報をスクリプトにハードコードしたり、安全でない場所に置いたりせずに、AI エージェントに安全に提供するにはどうすればよいでしょうか?この課題は、柔軟性とセキュリティを両立させる必要がある Mewayz のようなモジュラー プラットフォーム上に構築する開発者や企業にとって特に深刻です。今日、私たちは社内で構築したソリューション、OneCLI を共有できることを嬉しく思います。OneCLI は、Rust で書かれた AI エージェント専用に設計された安全なボールトです。

中心的な問題: 自律システムの信頼とセキュリティ

AI エージェントが SendGrid 経由で電子メールを送信したり、データベースにクエリを実行したり、Mewayz などのツールでプロジェクトを更新したりする必要がある場合、機密秘密にアクセスする必要があります。これらを環境変数として設定する従来の方法は、特にエージェントが異なる環境にわたってスケールされている場合、脆弱で安全ではありません。ハードコーディングはスターターではありません。私たちは、シークレットを一元管理し、厳格なアクセス制御を提供し、エージェントの実行フローとシームレスに統合できるシステムを必要としていました。私たちの目標は、信頼できるゲートキーパーとして機能するツールを作成し、エージェントが明示的に使用を許可されている資格情報のみを必要なときにのみ受信できるようにすることでした。

「OneCLI は単なるキーチェーンではありません。AI の意図とその動作の間の信頼層であり、セキュリティが後付けではなく機能であることを保証します。」

OneCLI を Rust で構築した理由

私たちが OneCLI の基盤として Rust を選択したのは、パフォーマンス、メモリの安全性、堅牢なエコシステムというセキュリティ重視のアプリケーションにとって重要な理由からです。 AI エージェントはリアルタイムで動作するため、ボトルネックにならないように秘密の取得を超高速で行う必要があります。 Rust のゼロコスト抽象化は、必要な速度を実現します。さらに重要なのは、Rust のコンパイル時のメモリの安全性保証は、機密データの漏洩に悪用される可能性のあるバッファ オーバーフローなどの脆弱性のクラス全体を防ぐのに役立ちます。この固有の安全性は、自動化インフラストラクチャの基盤を構築する際に最も重要です。信頼性を重視する Mewayz のようなプラットフォームにとって、安全性とパフォーマンスを考慮して設計された言語を使用することは当然の選択でした。

OneCLI ボールトの主な機能

OneCLI は、単純な Unix 哲学のアプローチに基づいて設計されています。つまり、1 つのことを実行し、それをうまく実行します。これは、AI エージェントが呼び出すことができるコマンドライン インターフェイスとして動作し、要求されたシークレットを標準出力に安全に返します。これが提供するものは次のとおりです。

一元的なシークレット管理: すべての API キー、トークン、パスワードを 1 つの暗号化されたボールトに保存し、簡単な CLI コマンドでアクセスできます。

スコープ付きアクセス トークン: 個々のエージェントに対して有効期間が短く、権限をスコープとしたトークンを生成し、資格情報漏洩のリスクを最小限に抑えます。

監査ログ: すべてのシークレット アクセスがログに記録され、どのエージェントがいつ、どのシークレットにアクセスしたかの明確な証跡が得られます。これは、デバッグとセキュリティ監査に重要です。

シームレスな Mewayz 統合: OneCLI は Mewayz モジュールに簡単に統合できるため、ビジネス OS 内で動作するエージェントはカスタム コードを使用せずに内部サービスまたは外部サービスの認証情報を安全に取得できます。

OneCLI をエージェント ワークフローに統合する

OneCLI の使用は簡単です。 AI エージェントは、Mewayz ワークフローを調整する Python スクリプトであっても、専用エージェント フレームワークであっても、OneCLI コマンドを呼び出すだけです。たとえば、データをフェッチするタスクを負ったエージェントは、onecli getdatabase-password-prod を実行する可能性があります。 CLI は認証と認可を処理し、許可されている場合はシークレットをエージェントのプロセスに直接返します。これにより、シークレットが必要になるその瞬間まで、ソース コード、環境変数、エージェントのメモリにシークレットが保存されなくなります。このモジュール式のアプローチは、Mewayz の哲学に完全に適合します。

Frequently Asked Questions

Introducing OneCLI: Securing the AI Agent Workflow

The rise of AI agents promises a new era of automation, where intelligent assistants can execute complex workflows, manage data, and interact with myriad APIs on our behalf. But this powerful new paradigm introduces a critical vulnerability: secrets management. How do you securely provide an AI agent with API keys, database passwords, and other sensitive credentials without hardcoding them into scripts or leaving them in insecure locations? This challenge is especially acute for developers and businesses building on modular platforms like Mewayz, where flexibility and security must go hand-in-hand. Today, we’re excited to share a solution we built in-house: OneCLI, a secure vault designed specifically for AI agents, written in Rust.

The Core Problem: Trust and Security in Autonomous Systems

When an AI agent needs to send an email via SendGrid, query a database, or update a project in a tool like Mewayz, it requires access to sensitive secrets. The traditional method of setting these as environment variables is brittle and insecure, especially when agents are scaled across different environments. Hardcoding is a non-starter. We needed a system that could centrally manage secrets, provide strict access control, and seamlessly integrate with agent execution flows. Our goal was to create a tool that acts as a trusted gatekeeper, ensuring that agents only receive the credentials they are explicitly permitted to use, and only at the moment they are needed.

Why We Built OneCLI in Rust

We chose Rust as the foundation for OneCLI for reasons critical to a security-focused application: performance, memory safety, and a robust ecosystem. AI agents operate in real-time, and any secret retrieval must be lightning-fast to avoid becoming a bottleneck. Rust’s zero-cost abstractions deliver the speed we need. More importantly, Rust’s compile-time memory safety guarantees help us prevent entire classes of vulnerabilities, such as buffer overflows, that could be exploited to leak sensitive data. This inherent safety is paramount when building the bedrock of your automation infrastructure. For a platform like Mewayz that emphasizes reliability, using a language engineered for safety and performance was the obvious choice.

Key Features of the OneCLI Vault

OneCLI is designed with a simple, Unix-philosophy approach: do one thing and do it well. It operates as a command-line interface that AI agents can call, returning the requested secret securely to stdout. Here’s what it offers:

Integrating OneCLI into Your Agentic Workflows

Using OneCLI is straightforward. An AI agent, whether it’s a Python script orchestrating a Mewayz workflow or a dedicated agent framework, simply makes a call to the OneCLI command. For example, an agent tasked with fetching data might execute onecli get database-password-prod. The CLI handles authentication and authorization, and if permitted, returns the secret directly to the agent’s process. This keeps secrets out of source code, environment variables, and agent memory until the very second they are required. This modular approach fits perfectly within the Mewayz philosophy, allowing you to compose secure, powerful business processes from discrete, reliable components.