Điểm nổi bật
- Ngôn ngữ: lõi Go, đi cùng web UI và SDK TypeScript.
- Tính năng chính 1: agent không nhận secret trực tiếp, chỉ nhận một phiên proxied với HTTPS_PROXY được cấu hình sẵn.
- Tính năng chính 2: log request theo host, path, status, latency mà không lưu body, header hay query string.
- Tính năng chính 3: hỗ trợ chạy agent cục bộ, trong container sandbox và tích hợp với các coding agent như Claude, Codex.
- Giá trị chiến lược: giải một điểm đau thật của agent era, prompt injection và secret exfiltration trong workflow tự động hóa.
Biểu đồ
Tóm tắt
Agent Vault là một dự án open source đáng theo dõi vì nó đổi hẳn cách nghĩ về quản lý bí mật cho agent. Thay vì để agent gọi vault rồi nhận secret về bộ nhớ, dự án đặt một proxy ở giữa. Agent chỉ gọi API như bình thường, còn credential được bơm vào request ở lớp mạng. Về mặt mô hình đe dọa, đây là thay đổi lớn vì nó giảm trực tiếp nguy cơ agent bị prompt injection rồi vô tình in ra khóa truy cập.
Trong giai đoạn các doanh nghiệp bắt đầu cho agent đụng vào GitHub, Stripe, Notion hay API nội bộ, bài toán “đừng để agent cầm chìa khóa” trở thành yêu cầu hạ tầng chứ không còn là best practice mềm. Agent Vault vì thế không chỉ là một repo bảo mật thú vị, mà có thể là mảnh ghép nền tảng cho rất nhiều agent stack thực chiến.
Chi tiết
README của Agent Vault nêu vấn đề rất thẳng, mô hình quản lý secrets truyền thống thất bại khi áp vào agent vì agent là hệ phi định tính, có thể bị prompt injection, social engineering hoặc những chuỗi lệnh bất ngờ khiến nó lộ khóa ra ngoài. Khi đó, việc “trả secret cho caller” vốn quen thuộc trong các app backend truyền thống trở thành một quyết định rủi ro. Agent Vault chọn cách đi khác, giữ secret trong vault, tạo một proxy cục bộ và chỉ cấp cho agent một phiên truy cập có phạm vi rõ ràng. Agent cứ gọi API như thường, còn Agent Vault sẽ chèn credential ở lớp mạng rồi chuyển tiếp upstream.
Về mặt kỹ thuật, cách làm này rất thực dụng. Nó không buộc mọi agent phải học thêm SDK riêng để gọi secret manager. Miễn là agent nói HTTP, nó có thể chạy qua proxy. Điều này giải thích vì sao README nhấn mạnh hỗ trợ cả custom Python hoặc TypeScript agents lẫn các coding agent quen thuộc như Claude Code, Cursor hay Codex. Với doanh nghiệp, đây là điểm rất có giá trị vì nó cho phép nâng mức bảo vệ mà không phải viết lại toàn bộ workflow agent hiện có.
Một điểm nữa đáng chú ý là lớp kiểm toán. Agent Vault lưu log về phương thức, host, path, status, latency và key name liên quan, nhưng không lưu body, header hay query string. Cách cân bằng này khá hợp lý, đủ để đội vận hành và bảo mật kiểm tra agent đã gọi gì, gọi tới đâu, có lỗi gì không, nhưng không tự tạo ra một bãi chứa dữ liệu nhạy cảm mới. Hệ thống cũng hỗ trợ sandbox container với egress bị khóa, nghĩa là không chỉ khuyên agent dùng proxy, mà còn có thể buộc nó chỉ đi được qua proxy.
Ở góc độ chiến lược, Agent Vault đại diện cho lớp “agent infrastructure for trust” đang bắt đầu tăng tốc. Hầu hết thị trường hiện nay tập trung vào model, UI hay orchestration, nhưng càng nhiều đội đẩy agent vào công việc thật, hạ tầng bảo mật sẽ trở thành nơi tạo khác biệt bền hơn. Điểm hạn chế hiện tại là dự án còn ở trạng thái preview và API có thể thay đổi, nên doanh nghiệp thận trọng vẫn cần đánh giá kỹ threat model trước khi triển khai rộng. Tuy vậy, hướng tiếp cận của Agent Vault rất đáng chú ý vì nó không cố vá prompt injection bằng lời hứa trong prompt, mà dời kiểm soát sang lớp mạng và quyền truy cập, nơi cơ chế thường bền hơn nhiều so với kỳ vọng vào hành vi của model.