🔐 mcp-keyguard

AIエージェントにAPIキーを見せてはいけません。もうその心配は不要です。

mcp-keyguardは、AIエージェント（Claude、Cursor、Windsurfなど）と外部APIの間の安全なプロキシとして機能するローカルMCPサーバーです。

OpenAI、Stripe、GitHubのキーをチャットコンテキストに貼り付ける代わりに、マシン上に暗号化して保存します。エージェントがmcp-keyguardを呼び出すと、サーバー側で実際のキーが挿入され、結果が返されます。

キーがマシンから外部へ出ることはありません。エージェントがキーを見ることもありません。

なぜこれが重要なのか

2025年、人気のあるMCPホスティングプラットフォームの脆弱性により、3,000以上のサーバーから数千ものAPIキーが流出しました。根本的な原因は、ユーザーが制御できないインフラストラクチャをキーが通過したことでした。

mcp-keyguardはその逆を行きます。完全にローカルで、外部依存関係はゼロ、キーはAES-128で保存時に暗号化されます。

仕組み

Your prompt → Claude → mcp-keyguard → [injects real key] → External API
                           ↑
                    Key never leaves here

インストール

要件: Python 3.10以上

pip install mcp httpx cryptography
git clone https://github.com/ggc180820/mcp-keyguard.git
cd mcp-keyguard

claude_desktop_config.json に以下を追加します：

{
  "mcpServers": {
    "mcp-keyguard": {
      "command": "python",
      "args": ["/path/to/mcp-keyguard/main.py"]
    }
  }
}

Claude Desktopを再起動してください。これで完了です。

使用方法

1. キーを保存する（キーごとに1回だけ行います）

"add_keyを使用して、OpenAIキーをエイリアス 'openai'、 ヘッダー名 'Authorization'、ヘッダープレフィックス 'Bearer ' で保存して"

2. 認証済みリクエストを行う（Claudeが自動的に行います）

"make_requestとエイリアス 'openai' を使用して https://api.openai.com/v1/models を呼び出して"

3. 保存内容を確認する

"list_keysを使用" → エイリアスとヘッダーが表示されます。実際の値は決して表示されません。

ツール

セキュリティモデル

• キーは Fernet (AES-128-CBC + HMAC-SHA256) で暗号化されます

• 暗号化キーはマシン上の vault.key にのみ存在します

• すべてのHTTPリクエストは30秒のタイムアウト付きでローカルで行われます

• vault.key や vault.json をgitにコミットしないでください（.gitignore に追加済みです）

mcp-keyguard Pro

より詳細な制御が必要ですか？Pro版では以下が追加されます：

👉 Pro版を購入 — 5€/月

ライセンス

MIT — 個人利用は永久に無料です。