Symaira Vault:ターミナルと AI agent で共有するローカル password vault
AI agent に実際の開発環境を触らせるようになると、credential 管理はかなり扱いにくい問題になる。
人間の開発者は、1Password、pass、Keychain、ブラウザの password store、あるいは一時的な .env ファイルに慣れている。だが agent の動き方は少し違う。API のデバッグコマンドを実行したい、CLI に token を渡したい、テストアカウントの password を一度だけ使いたい、MCP server 経由で内部ツールを呼びたい、という場面が出てくる。最悪なのは、secret をそのままチャット欄に貼り、shell history、ログ、prompt の中に痕跡を残してしまうことだ。
今日メモしておきたい danieljustus/symaira-vault は、この部分を扱う小さなツールだ。Go で書かれた CLI password manager で、コマンド名は symvault。クラウド password service を作り直すのではなく、local vault、age 暗号化、OS keyring session cache、TOTP、clipboard、autotype、Git sync、MCP server をひとつの CLI にまとめ、人間と agent の両方により明確な credential 入口を与える。
2026-07-09 時点で GitHub repository API、README、LICENSE、release page、commits API、go.mod、distribution document から確認できる公開情報では、danieljustus/symaira-vault は 22 stars、3 forks。主言語は Go、ライセンスは Apache-2.0。リポジトリ作成日は 2026-04-22 19:28:03 UTC、最新 push は 2026-07-08 16:00:23 UTC。デフォルトブランチは main。最新 GitHub release は v0.9.0 で、公開時刻は 2026-07-02 20:56:13 UTC。
プロジェクト概要
| 項目 | 内容 |
|---|---|
| リポジトリ | danieljustus/symaira-vault |
| 位置づけ | local-first な CLI password manager。MCP server と agent 向けの利用境界を持つ |
| Stars | 22 |
| Forks | 3 |
| 主言語 | Go |
| ライセンス | Apache-2.0 |
| リポジトリ作成日 | 2026-04-22 19:28:03 UTC |
| 最新 push | 2026-07-08 16:00:23 UTC |
| 最新バージョン | v0.9.0 |
| リリース公開時刻 | 2026-07-02 20:56:13 UTC |
| 主な機能 | age 暗号化、TOTP、clipboard auto-clear、autotype、OS keyring cache、Git sync、multi-user recipients、MCP server |
まず password vault をローカルに置く
Symaira Vault の基礎部分は比較的伝統的で、それが大事でもある。vault は age で暗号化され、README では X25519 と ChaCha20-Poly1305 が使われると説明されている。session passphrase は OS keyring に入れられ、15 分の TTL を持つ。password を取得するときは clipboard にコピーして自動消去でき、TOTP、password generation、list、search もある。
つまり、これはまず普通の terminal password manager であって、AI agent のためだけの demo ではない。README の quick start には symvault init、symvault add github、symvault get github.password --clip、symvault generate --store ...、symvault unlock、symvault lock、symvault ui が並ぶ。配布経路も quick install、Homebrew、Scoop、Nix、Go install、GitHub Releases、deb、rpm、apk、tar.gz、zip とかなり広い。
CLI を日常的に使う人にとって、ここは重要だ。credential tool が agent 専用だと、すぐ薄い wrapper になりがちだ。人間も同じ vault を普通に使えるなら、agent は一時的にコピーされた secret ではなく、実際の credential workflow に接続しやすくなる。
MCP は境界を消すのではなく、見える形にする
このプロジェクトで面白いのは、MCP server が一等機能として扱われている点だ。README では stdio と HTTP の MCP server entrypoint、そして scoped token management が説明されている。credential の追加、rotation、検索して利用、共有といった slash command 風の guided workflow も用意されている。
この方向が良いと思う理由は、agent と secret の関係が単純な yes/no ではないからだ。現実には、agent に credential を一切触らせないままでは実行できない自動化も多い。API を呼ぶ、環境へ deploy する、内部 system を調べる、といった作業には credential が必要になる。一方で、vault 全体をそのまま agent に渡すのも危険すぎる。必要なのは、明示的な tool boundary を通じて、一回限り、scope 付き、監査しやすいアクセス経路を作ることだ。
Symaira Vault には、native secure-input dialog という地味だが効く設計もある。README では macOS、Linux、Windows の system dialog を使って credential を集め、ユーザーが password を agent の chat text に直接打ち込まないようにする、と説明されている。この細部は派手ではないが、境界設計としてはかなり意味がある。
向いている場面
ひとつめは、ローカル開発での secret execution だ。たとえば、あるコマンドに一時的に API_KEY を渡したいが、shell profile、.env、history には残したくない。README には symvault run --env ... -- command のような使い方があり、secret を常駐させるのではなく、コマンド実行時に注入する考え方になっている。
ふたつめは、小さなチームでの共有だ。age recipients と Git sync をサポートしているので、暗号化された vault を Git で versioning し、誰が復号できるかを recipients で制御できる。完全な enterprise password platform ではないが、小規模チーム、open source maintainer、個人の複数マシン同期には素朴で扱いやすい形だ。
みっつめは、agent workflow である。「agent は credential を要求できるが、vault 全体を自由に見られるわけではない」中間層として使える。prompt injection や permission design をすべて解決するわけではないが、secret access を chat text から tool protocol と vault permission の側へ戻せる。
注意したいところ
第一に、プロジェクトはまだ若い。リポジトリ作成日は 2026-04-22 で、現在の stars も 22。release は頻繁で、最新 release は 2026-07-02 の v0.9.0 だが、検証なしに重要な production credential を預ける段階の成熟ツールとは見ないほうがよい。
第二に、README 自身も safety notice を出している。これは sensitive secret を扱うツールなので、利用者はテスト済みの backup を持ち、重要な credential に依存する前に recovery を検証すべきだ、という内容だ。password manager において、これは単なる注意書きではなく、導入前の必須手順である。
第三に、直近の公開 commit には CI や dependency maintenance 系の更新も多い。活発なのは良いことだが、security tool の価値は更新頻度だけでは決まらない。threat model、audit、recovery、cross-platform behavior、failure mode を見る必要がある。採用前には、少なくとも SECURITY.md を読み、backup recovery を試し、チームが key と Git sync の model を受け入れられるか確認したい。
第四に、MCP entrypoint は permission design の影響を大きくする。「password を探す」tool を agent に渡すのと、「特定コマンドに scoped token を注入する」tool を渡すのでは、リスクがまったく違う。Symaira Vault は境界を作る材料を提供するが、その境界をどこで切るかは利用者側の設計になる。
まとめ
Symaira Vault の面白さは、「AI agent も password vault を使える」というラベルだけではない。人間は CLI で vault を管理し、agent は MCP 経由で制御されたアクセスを要求し、コマンド実行時には secret を一時注入し、vault 自体は age で暗号化され Git sync もできる。その一連の動きを、ひとつの local tool に寄せている。
Codex、Claude Code、その他の agent に、より実環境に近い作業を任せ始めているなら、この種のツールは見ておく価値がある。credential 管理を自動で安全にしてくれるからではない。agent 時代の secret access は、chat box に貼るものではなく、明示的で、制限可能で、復旧可能な tool boundary に戻すべきだと示しているからだ。