そのClaude Code、APIキーを流出させていませんか。シークレット漏洩を防ぐプラグイン「マモラクSecret」無償公開

株式会社MONO BRAINは、AIコーディングツール「Claude Code」向けに、APIキー・アクセストークン・パスワードなどのシークレット漏洩を検知・ブロックするプラグイン「マモラクSecret」を無償公開しました。

「マモラクSecret」は、Claude Codeの実行中に発生するプロンプト送信、Bashコマンド実行、ファイル書き込み、コマンド出力などをリアルタイムにスキャンし、認証情報がAIエージェントの文脈や成果物に混入することを防ぎます。

Claude Codeの便利さは、シークレット情報流出の新しい流出経路にもなる

Claude CodeをはじめとするAIコーディングエージェントは、コード生成や調査、修正作業を大幅に効率化します。一方で、従来の開発フローには存在しなかった新しい情報流出経路を生み出しています。

これらにAPIキーやアクセストークンが含まれていた場合、認証情報は開発者が意図しないままAIエージェントの文脈に取り込まれ、ログや成果物、外部サービスとの連携処理に残る可能性があります。

日常的な開発作業の中で、シークレットは自然にAIエージェントの実行経路へ入り込みます。

シークレット漏洩を防ぐために有効な「Hooks」

AIコーディング時代のシークレット対策では、Gitへのコミット前後を検査するだけでは十分ではありません。

認証情報は、コミットされる前にプロンプトやコマンド出力を通じてAIエージェントへ渡る可能性があります。そのため重要なのは、AIエージェントが実際に動作しているタイミングで監視することです。

Claude Codeには、ユーザー入力やツール実行の前後で処理を挟み込めるHooks機能が用意されています。

シークレット漏洩対策を簡単に導入できるプラグイン「マモラクSecret」

「マモラクSecret」は、Claude Code向けに開発されたシークレット漏洩対策プラグインです。

インストール後はClaude CodeのHooksに自動的に組み込まれ、開発フローを変えることなくシークレット保護を実現します。

また、Web UIでの検知履歴確認、ホワイトリスト管理、誤検知フィードバック機能にも対応しています。

個人利用からチーム利用まで、継続的な運用を前提とした設計です。

チームでの検知ログ管理、メンバー管理、ポリシー設定などの統制機能については、お問い合わせフォームよりお気軽にご相談ください。

153パターンの検出テストで漏れ0件を確認

「マモラクSecret」の検出エンジンは、OpenAI、Anthropic、AWS、GitHub、Stripe、Slackなど、主要109種類のAPIキー・トークン形式に対応しています。

正規表現、高エントロピー検出、キー名ヒューリスティックを組み合わせ、既知のサービス固有キーから汎用的なシークレットらしい文字列まで幅広く検知します。

153パターンのシークレットフィクスチャを用いた自動テストでは、153件すべての検出に成功し、検出漏れ0件を確認しています。

独自開発モデルを活用し、78万ファイルで誤検知も検証

シークレット検知ツールは、単に検出感度を上げればよいものではありません。コード識別子、ダミー値、ハッシュ値、テンプレート変数まで過剰に検知してしまえば、開発者の作業を止めるだけのツールになってしまいます。

「マモラクSecret」では、OSSコード100リポジトリ・780,461ファイルを対象に検証を実施。そこで収集した実誤検知パターン19,258件をもとに、XGBoost製の誤検知削減モデルを搭載しています。

トークン長、エントロピー、文字クラス比率、CamelCase遷移数、文脈キーワードなどの特徴量をもとにシークレットらしさを再評価し、高感度な検出と誤検知の抑制を両立します。

AIセキュリティプラットフォーム「MODEL SAFE」について

「MODEL SAFE」は、AIエージェントやAIコーディングツールの企業利用における、プロンプトインジェクション、外部連携リスク、秘密情報漏洩、エージェント暴走を防ぐためのAIセキュリティプラットフォームです。

AIの入出力、権限、外部通信、実行ログを横断的に監視し、企業の安全なAI活用を支援します。

株式会社MONO BRAIN 会社概要

代表者：代表取締役 加藤 真規
事業内容：AIセキュリティ・ガバナンスプラットフォーム「MODEL SAFE」の開発・提供