- Infisical vừa open-source Agent Vault — một HTTP credential proxy cho AI agent.
- Agent không bao giờ thấy API key: proxy tự gắn credential vào request trên đường truyền.
- Đây là mô hình 'tách agent khỏi credentials' mà Anthropic, Brex và Browser Use đang đi theo.
TL;DR
Ngày 21/04/2026, Infisical phát hành Agent Vault v0.9.0 — proxy HTTP/HTTPS mã nguồn mở (MIT) đứng giữa AI agent và các API bên ngoài. Agent không cầm secret; proxy tự gắn credential vào request trên đường truyền. Tương thích với Claude Code, Cursor, Codex, OpenClaw và các sandbox Docker/Daytona/E2B. Đây là một trong những mảnh đầu tiên của xu hướng "credential broker cho agent" mà Anthropic, Brex và Browser Use cũng đang xây.
Vấn đề Agent Vault giải quyết
Câu hỏi ngày càng gắt gao với ai deploy AI agent: làm sao cho agent gọi được API mà không phải cho nó đọc bất kỳ secret nào? Cách truyền thống — agent lấy key từ HashiCorp Vault hay AWS Secrets Manager rồi giữ trong bộ nhớ/env — có một lỗ hổng cố hữu: prompt injection, log scraping, hoặc agent bị hack thì key rò ngay.
Agent Vault đảo ngược mô hình: key nằm trong vault, không bao giờ rời vault. Agent cấu hình HTTPS_PROXY trỏ về Agent Vault, rồi gọi api.github.com hay api.openai.com như bình thường. Proxy match host/path theo rule rồi chèn header credential vào request trên đường đi. Agent không đọc, không log, không echo được secret vì nó thật sự chưa từng thấy.
Kiến trúc & thông số kỹ thuật
- Ngôn ngữ: Go 69.4% (proxy/server), TypeScript 28.7% (dashboard UI).
- Port: HTTP API trên
14321, TLS proxy trên14322. - Mã hoá: AES-256-GCM cho credential lưu trữ; tuỳ chọn master password qua Argon2id.
- Observability: log method, host, path, status, latency, và credential key được dùng. Không log request body hay header — giảm rủi ro rò rỉ thứ cấp.
- Cài đặt: script 1 dòng cho macOS/Linux (Intel + Apple Silicon, x86_64 + ARM64), Docker image, hoặc build từ source (Go 1.25+, Node 22+).
- License: MIT cho core; có thư mục
ee/dành riêng cho enterprise features. - Repo: 59 sao, 4 fork, 14 release, mới nhất v0.9.0 (21/04/2026).
So sánh với vault truyền thống
| Khía cạnh | HashiCorp Vault / Doppler | Agent Vault |
|---|---|---|
| Agent có cầm secret không? | Có (sau khi fetch) | Không bao giờ |
| Prompt injection lộ key? | Có thể | Không có gì để lộ |
| Audit trail | Ở tầng vault fetch | Ở tầng từng outbound request |
| Tương thích MCP / CLI / SDK | Phải inject env thủ công | Trong suốt qua HTTP |
| Trạng thái | Production-grade | Pre-1.0, API có thể đổi |
Một dự án tương tự là OneCLI (Rust), cùng mô hình HTTP gateway + AES-256-GCM + host/path matching. Khác biệt lớn: Agent Vault gắn với hệ sinh thái Infisical sẵn có (secrets, certs, PKI), trong khi OneCLI là sản phẩm độc lập.
Use case thực tế
- Coding agent trong sandbox: Claude Code chạy trong Docker/Daytona/E2B không cần biết GitHub token — proxy lo.
- Agent đa dịch vụ: gọi 10+ API, 1 điểm audit, 1 log duy nhất, không còn "key sprawl" trong env.
- MCP tools: nhiều MCP server cần API key; proxy xoá nhu cầu truyền key qua context của agent.
- Red-team-proofing: kể cả khi attacker jailbreak agent và yêu cầu in env, đơn giản không có gì để in.
- Compliance: từng request outbound đều có log method/host/path/credential-key mà không lộ body — đủ cho audit, không thành honeypot.
Hạn chế & pricing
Agent Vault còn pre-1.0 — API chưa ổn định, breaking changes có thể xảy ra. Core MIT miễn phí; tier enterprise (thư mục ee/) chưa công bố giá. Scope chỉ phủ HTTP/HTTPS — các protocol khác (gRPC thuần, giao thức DB trực tiếp) nằm ngoài. Không log body/header cũng nghĩa là deep observability phải tự layer thêm. Master password là optional — bỏ qua thì encryption-at-rest chỉ dựa trên host key. Community nhỏ (59 sao), nên nhớ đọc security doc trước khi thả vào prod.
Xu hướng rộng hơn & roadmap
Tony Dang (Infisical) nhìn nhận Agent Vault là "early peek" vào xu hướng mà Anthropic, Brex, Browser Use đều đã bắt sóng: tách agent khỏi credentials. IETF đang có draft CB4A (Credential Broker for Agents) chuẩn hoá pattern này — credential ngắn hạn, scoped, broker tách policy khỏi delivery.
Roadmap gần của Agent Vault: firewall rules trên proxy — không chỉ chèn credential mà còn chặn/giới hạn request dựa trên rule. Cộng với log sẵn có, proxy trở thành "chokepoint" duy nhất để quan sát và kiểm soát agent outbound — một vị trí rất đắt giá khi agent ngày càng autonomous.
Nếu bạn đang chạy coding agent trong production hay cho agent tự động gọi nhiều dịch vụ trả phí, đây là thời điểm để nghiêm túc xem xét kiến trúc broker. Vault-trong-vault không còn là over-engineering khi một prompt injection duy nhất có thể làm rò hết API key — và khi chi phí của một lần rò vượt xa chi phí dựng proxy.
Nguồn: @dangtony98, GitHub Infisical/agent-vault, infisical.com.
