기존 시크릿 관리 방식은 자격증명을 요청자에게 반환하는 구조다. AI 에이전트에 이를 적용하면 치명적인 문제가 생긴다. 에이전트는 비결정적 시스템이라 프롬프트 인젝션으로 조작될 수 있고, 보유한 API 키를 외부로 유출할 위험이 있다. Agent Vault는 Infisical이 오픈소스로 공개한 에이전트 전용 HTTP 크레덴셜 프록시다. 에이전트는 자격증명을 직접 받는 대신, 로컬 HTTPS 프록시를 통해 API를 호출하고 프록시가 네트워크 레이어에서 자격증명을 주입한다. Claude Code·Cursor·Codex·OpenCode 등 주요 코딩 에이전트와 즉시 호환된다.

GitHub: https://github.com/Infisical/agent-vault

누구에게 유용한가?

• 코딩 에이전트를 팀 환경에서 운영하는 개발자: Claude Code·Codex가 GitHub·Slack 등 외부 API를 호출할 때 키 유출 없이 인증을 처리하고 싶을 때
• AI 에이전트 보안을 강화하려는 조직: 프롬프트 인젝션 공격으로 에이전트가 자격증명을 유출하는 시나리오를 원천 차단하고 싶을 때
• 샌드박스 환경에서 에이전트를 실행하는 개발자: Docker·Daytona·E2B 같은 컨테이너 런타임에서 에이전트에 크레덴셜을 주입해야 할 때

작동 원리

에이전트
  │  fetch("https://api.github.com/...")   ← API 키 없음
  ▼
Agent Vault 로컬 프록시 (14322 포트)
  │  자격증명 주입
  ▼
외부 API                                   ← 실제 요청

에이전트는 HTTPS_PROXY 환경 변수만 알고 있다. Agent Vault 프록시가 요청을 가로채 볼트에서 해당 크레덴셜을 꺼내 헤더에 주입한 뒤 업스트림으로 포워딩한다. 에이전트는 절대 실제 키를 받지 않는다.

핵심 기능

브로커 방식 접근 (Brokered Access)

에이전트는 스코프가 제한된 세션과 로컬 프록시 주소만 받는다. 자격증명 자체는 네트워크 레이어에서만 주입되며 에이전트 프로세스 메모리에 진입하지 않는다.

AES-256-GCM 암호화

크레덴셜은 AES-256-GCM으로 암호화하고, 랜덤 DEK(Data Encryption Key)로 보호한다. 선택적 마스터 패스워드를 Argon2id로 DEK를 래핑한다. 패스워드 교체 시 크레덴셜을 재암호화할 필요가 없다.

요청 감사 로그

프록시를 통과한 모든 요청의 메서드·호스트·경로·상태 코드·지연 시간·사용된 크레덴셜 키 이름을 볼트별로 기록한다. 바디·헤더·쿼리 스트링은 저장하지 않아 개인정보 침해 없이 감사가 가능하다.

컨테이너 샌드박스

--sandbox=container 플래그로 에이전트를 Docker 컨테이너에서 iptables 이그레스 제한과 함께 실행할 수 있다. 에이전트가 협조하지 않아도 프록시 외의 외부 네트워크 접근이 물리적으로 차단된다.

설치 및 빠른 시작

# macOS / Linux
curl -fsSL https://get.agent-vault.dev | sh
agent-vault server -d

# Docker
docker run -it -p 14321:14321 -p 14322:14322 \
  -v agent-vault-data:/data infisical/agent-vault

서버 시작 후 코딩 에이전트를 agent-vault run으로 감싸면 자동으로 HTTPS_PROXY 환경 변수가 설정된다:

agent-vault run -- claude
agent-vault run -- codex
agent-vault run -- opencode

웹 UI는 http://localhost:14321에서 접근 가능하다.

CrabTrap과의 차이

라이선스

MIT (ee/ 디렉터리 제외 — 엔터프라이즈 기능은 Infisical 라이선스 필요)

관련 문서

• mcp — 에이전트와 외부 시스템을 연결하는 표준 프로토콜
• crabtrap — 에이전트 아웃바운드 HTTP를 LLM 정책으로 통제하는 보안 프록시
• claude-code — Claude Code 코딩 에이전트 개요