English
KeyVaultMCP
MCP Native — macOS

AIに鍵を、
見せない。

Claude Code・Codex・Antigravity など MCP 対応の AI ツールで、API キーやトークンの値そのものを AI に渡さずに使える macOS アプリ。AI のコンテキストにも会話ログにも、生のキーは残りません。

Mac App Store でダウンロード 使い方を見る

買い切り ¥2,800 — サブスクリプション不要

KeyVaultMCP の仕組みを約45秒で解説

よくあるAPIキー管理とそのリスク

OWASP MCP Top 10 はトークン管理の不備を第1位のリスクに挙げています。AIコーディングツールの普及で、この問題はさらに複雑になっています。

.env + AIコーディングツール

# .env
OPENAI_API_KEY=sk-proj-abc123...
AWS_SECRET_ACCESS_KEY=wJalrXUtn...

.gitignore の設定ミスや git add . で一瞬にしてGitHubに公開されます。さらに、AIコーディングツールとの組み合わせで新たなリスクも生じています。Claude Code が .env を自動的にコンテキストに読み込む動作が報告されており、.claudeignore の設定では防げないケースがあります。AIが生成したコードに .env の値が混入してコミットされるリスクも高まっています。

MCP設定ファイルに平文でキーを記述

// claude_desktop_config.json
{
  "mcpServers": {
    "my-api": {
      "command": "node",
      "env": {
        "API_KEY": "sk-live-abc123..."
      }
    }
  }
}

MCPサーバーの env にAPIキーを直接記述するのは手軽ですが、ファイルは暗号化されません。GitGuardian の調査では MCP設定ファイルから24,008件のシークレットが検出され、うち2,117件が有効なクレデンシャルでした。dotfilesの同期やマシン共有でも露出します。

KeyVaultMCP は、クレデンシャルを暗号化された Vault に保管し、MCP 経由でも平文の値を AI に渡しません
設定ファイルやソースコードはもちろん、AI のコンテキストや会話ログにも、生のキーは現れません。

MCP ネイティブ対応

Claude Code、Codex、Cursor、Antigravity などに、正式名 keyvaultmcp の MCP サーバーとして登録するだけ。コマンド1つでセットアップでき、AIが必要なときだけクレデンシャルを取得します。

AI に平文を渡さない

MCP の get_credential はメタデータ (URL / token ラベル) のみを返し、値そのものは決して返しません。実際の API 呼び出しは call_api{{KV:...}} プレースホルダを**アプリ内で**実値に置換して HTTPS リクエストを発行。AI のコンテキストや会話ログに生のキーは現れません。承認ダイアログ・URL 検証・高リスク再認証の手前関門も合わせて働きます。

買い切り ¥2,800

月額・年額のサブスクリプションは不要。一度の購入でずっと使えます。

画面イメージ

実際の KeyVaultMCP の画面です。

AI 開発の API キーを安全に一元管理 Touch ID で守る開発用 Vault AI からのキー要求をその場で確認 gpt-image に複数の参照画像を渡す時も 複数の API キーをサービス別に整理 MCP 連携とログで利用を追跡

AIがクレデンシャルを要求したとき

4つの関門をすべて通過しないと、クレデンシャルはAIが使える形になりません。
さらに最後まで通過しても、AIは値そのものを目にしません。

0

平文非露出

MCP の get_credential はメタデータしか返さず、AI は値を一切目にしません。実 API 呼び出しは call_api がアプリ内で {{KV:...}} を置換して HTTPS 発行し、レスポンスだけを AI に戻します (値が応答に漏れても自動で伏字化)。http:// は拒否、30x リダイレクトも自動追従しません。

1

URL 検証

AIの送信先URLを、クレデンシャルに登録されたドメインと照合。一致しなければ即座に拒否。ワイルドカード(*.example.com)対応。

2

承認ダイアログ

macOS ネイティブのダイアログが表示され、ユーザーが「許可」を押さないとアクセスは進みません。デフォルトボタンは「拒否」、30秒タイムアウト、AppleScript injection 対策済み。秘密情報・マスターパスワードはアプリプロセス内のメモリにしか存在せず、外部プロセス (AI クライアント等) に出ることはありません。

3

高リスク追加認証

本番DB・AWSキーなどの高リスクアカウントは、マスターパスワードの再入力が必要。URL未登録のままではMCP経由アクセスを完全拒否。

アクセスログをそのまま監査

フィルタ済みの生ログをそのまま表示し、必要なときだけコピーして外部 AI やレビュー担当へ渡せます。

LOG

事実だけをそのまま渡せる

すべてのMCP経由アクセスは自動的にログに記録されます。ログ画面の「監査テキスト」でフィルタ済みの生ログを表示し、「監査用コピー」でAIに貼り付けやすい形でコピーできます。ログに含まれるのはサービス名、アクション、結果、URLのみで、クレデンシャルの値は含まれません。

ローカルサーバーとしての堅牢性

AI クライアントと通信するためにローカルサーバーを内蔵していますが、外部やブラウザから到達・悪用されないよう多層で設計しています。

外部からの到達を遮断

このマシンの内部からのみ接続でき、別マシンやネットワーク越しには到達できません。接続にはアプリが発行する専用トークンが必須です。

ブラウザ経由の悪用を遮断

Web サイトからの不正リクエスト (CSRF・DNS リバインディング・なりすまし等) は受け付けません。

通信のダウングレード・漏洩を遮断

HTTPS 以外の送信や、リダイレクト・レスポンス経由で secret が外部に漏れる経路を塞いでいます。

ロック中は応答しない

Vault がロックされている間は、クレデンシャルに関わる操作を一切受け付けません。

具体的な防御の実装内容は、攻撃者に手の内を渡さないため公開していません。

使い方

コマンド1つで登録、あとは AI に話しかけるだけ。

# KeyVaultMCP.app を起動 → ツールバーの AI 接続から URL/トークン取得 → 以下を実行
claude mcp add --transport http --scope user keyvaultmcp http://127.0.0.1:<port>/mcp --header "Authorization: Bearer <token>"

# あとは AI に話しかけるだけ
> GitHub のトークンを使ってリポジトリ一覧を取得して。
セットアップガイドを見る

KeyVaultMCP が向いているケース

他にもクレデンシャル管理ツールはありますが、KeyVaultMCP の立ち位置を整理します。

KeyVaultMCP が向いているケース: 個人開発者で、macOS上で手軽にMCPサーバーを使いたい。セットアップに時間をかけたくない。サブスクは避けたい。
他のツールが向いているケース: チームでの利用、クロスプラットフォーム、すでに別のパスワードマネージャーを使っている場合は、既存のツールにMCPを追加する方が合理的です。
OpenClaw: ローカルMac上で動作するOpenClawからもMCPサーバーとして接続できます。承認ダイアログにはmacOSのGUIセッションが必要なため、リモートサーバー上のOpenClawからは利用できません。

セキュリティ仕様

OWASP の推奨事項に基づいて設計しています。

暗号化 AES-256-GCM
鍵導出 PBKDF2-HMAC-SHA256
生体認証 Touch ID
サンドボックス App Sandbox
データ保管 ローカルのみ
データ収集 なし
自動ロック アイドル時
対応 OS macOS 13.0+