dotenv 保護
AI エージェントが .env ファイルを読めないようにする
.env は便利ですが、エージェントからも読みやすい場所です。Automic Vault は値をローカル保護ストレージへ移し、承認されたコマンドだけに渡します。
01 · dotenv 保護
前後比較
以前は .env に API キーやデプロイトークンがあり、通常のファイル確認で漏えいしました。移行後は非シークレット設定だけを残し、av save で保存した値を av inject で必要なプロセスへ渡します。
02 · dotenv 保護
コマンド例
av save STRIPE_SECRET_KEY を実行し、.env から値を削除してから av inject -- npm test のように許可されたスクリプトを起動します。
03 · dotenv 保護
運用メモ
エージェントに「読まないで」と頼むのではなく、読めるファイルから秘密をなくすことで、ログ、要約、パッチへの流出経路を閉じます。
04 · dotenv 保護
ローカル実行境界
Automic Vault は、エージェントが読めるファイルと、承認されたツールだけが受け取る認証情報を分けます。モデルの指示ではなく、Mac 上の実行経路で制御します。
05 · dotenv 保護
Homebrew と CLI
多くの開発ツールは Homebrew、npm、PyPI、クラウド CLI から入ります。Vault は、そのツールが作る認証情報ファイルや危険な操作を検出して、必要な場所に承認を置きます。
06 · dotenv 保護
次の手順
まずスキャナーで平文の露出を確認し、対応済みのシークレットを保護されたローカル保存に移し、Automic Vault を起動したまま新しい hazard 通知を受け取ります。
07 · dotenv 保護
インストール後の変化
既存の CLI は使い続けられます。ただし、シークレットはエージェントが読める設定ファイルではなく、承認された実行だけが受け取るローカル境界の中に移ります。
08 · dotenv 保護
中央の vault との違い
1Password や HashiCorp Vault はシークレットの管理元として使えます。Automic Vault は、その値が Mac 上のツールへ渡される瞬間を制御します。
09 · dotenv 保護
関連ページ
ドキュメント、ダウンロード、シークレットスキャナー、パッケージカタログを確認すると、検出からハードニング、承認、継続監視までの流れが分かります。
10 · dotenv 保護
継続監視
新しいパッケージ、古いツール、再作成された設定ファイルは、最初の修正後にも危険を戻す可能性があります。Automic Vault は新しい hazard を知らせます。
11 · dotenv 保護
信頼の手がかり
公開リポジトリ、セキュリティページ、ライセンス、Max Howell の Homebrew 背景を確認できます。ローカルのセキュリティ境界は、検証可能であるべきです。
Automic Vault