Keycard — APIキーをサブプロセスに直接注入、shell環境には触れない

概要

• サブプロセスの環境変数にAPIキーを直接注入するデスクトップツール
• キーはローカルの暗号化ボルトに保存。shell環境やdotfilesには一切出てこない
• ps、ログ、env dumpによる誤ったキー漏洩を防ぐことを目的とする
• ローカル開発ワークフロー向けの、開発者ファーストなシークレット管理ツールとして位置付け

ディスカッション

• セキュリティ上の懸念：同一ユーザーのプロセスが ps -Eww や /proc 経由で環境変数を読める点は変わらない
• 1Password CLI の op run（同じ注入パターンを採用）と比較する声あり
• 懐疑的な意見：「agentで20分あれば同じものが作れる」「ランディングページが量産型LLM SaaSと見分けがつかない」
• クレデンシャルをクラウドに長期保存しているかどうか、インフラの詳細が非公開である点を問題視する質問も

HN（Hacker News）でディスカッションを見る

原文（英語）: Keycard – inject API keys into subprocesses, never touch shell env