Outpost – 能力ベースのAIエージェント用クレデンシャルプロキシ（Hermes, Openclaw）

AIエージェントがプログラミングや運用に広く使われるようになるにつれ、従来のクレデンシャル管理方法は深刻な課題に直面しています。エージェントがGitHub、Slack、StripeなどのAPIにアクセスする際、通常は環境変数に格納されたAPIキーを直接使用しますが、これによりプロンプトインジェクション攻撃の大きなリスクが生じます。悪意のあるユーザーは、特定のPRやコンテンツを仕掛けることで、エージェントに全環境変数を出力させ、機密情報を漏洩させる可能性があります。

Outpostプロジェクトはこの問題に対処するため、能力ベースのクレデンシャルプロキシとして開発されました。その核心は「エージェントは資格情報ではなく、能力を受け取るべき」という原則にあります。エージェントはOutpostを介してすべてのAPIリクエストをプロキシし、何をしたいかを宣言するだけで、基盤となるキーに触れる必要はありません。OutpostはエージェントとサードパーティAPIの間でリバースプロキシとして機能し、認証情報の注入、リクエストフィルタリング、IP制限、レート制限、構造化監査ログの生成を担当します。

Outpostは2つのランタイムを提供します。Python（FastAPI + Redis、プラグイン拡張対応）とTypeScript（Hono + Redis/KV、NodeおよびCloudflare Workersにデプロイ可能）です。両ランタイムは同じYAML設定形式とセキュリティモデルを共有しており、ユーザーはデプロイ先に応じて選択できます。デプロイ方法は非常に柔軟で、Cloudflare Workersを使用すれば数分でグローバル展開が可能（無料枠で1日10万リクエストまで）、またはDockerで任意のVPS上にセルフホストすることもできます。

セキュリティモデルの鍵は、エージェントが決して鍵を保持しないことです。エージェントが完全に乗っ取られても、攻撃者は基盤となる資格情報を入手できません。Outpostには、機密書き込みゲート（POST/PUT/DELETE/PATCHリクエストを自動フラグ）、パスの許可/拒否リスト、送信元IPのCIDR許可リスト、マルチウィンドウアトミックレート制限などのポリシーが組み込まれています。さらに、10種類の認証モジュール（Bearer、Basic、APIキー、HMAC、OAuth2クライアント資格情報など）を内蔵し、Python/TSプラグインでTOTPやSigV4などのカスタムスキームも拡張可能です。

一般的なMITMフォワードプロキシ方式（Infisical/Agent Vault、mikekelly/gapなど）と比較して、OutpostはCA証明書のインストールやTLSインターセプトが不要で、ベースURLを変更しX-Providerヘッダーを追加するだけで済み、デプロイとセキュリティ信頼モデルを大幅に簡素化します。

プロジェクトでは豊富な例を提供しています。3行のYAMLでGitHub、Slack、Jiraなどのプロバイダーを定義でき、透過フォワードモード（デフォルトで全パスを直接転送）と厳格なホワイトリストモードの両方をサポートします。さらに制御を強化したいユーザーは、パス制限、キャッシュTTL、カテゴリ別レートバケットなどの高度な設定を段階的に追加できます。

Outpostはまさに今必要とされています。2023年にAIアシスタントがコードを書き、2024年にAIエージェントがツールを使い始め、2025年にはAIエージェントが本番システムを運用するようになりました。エージェントの爆発半径は桁違いに拡大しましたが、セキュリティモデルは追いついていません。Outpostは、本番環境でAIエージェントを安全に実行するための重要な基盤を提供します。