Stakpak：AIに秘密鍵を渡さずDevOpsを自動化する方法

AIエージェントにインフラ操作を任せたいが、クレデンシャルを見せるのが怖い——そんな悩みを解決するOSSが注目を集めています。

この記事でわかること:
– Stakpakがどんなツールで何を解決するか
– シークレット漏洩を防ぐ「Secret Substitution」の仕組み
– Kubernetes運用やTerraformコード生成への活用法
– インストールから起動までの手順

AIにDevOpsを任せると何が怖いのか

AIエージェントにKubernetesのデバッグやデプロイを任せる場合、APIキーやDBのパスワードといったシークレットをLLMに渡す必要が生じます。これはプロンプトインジェクションやログ漏洩のリスクを伴い、本番環境で使うにはハードルが高いという声がよく聞かれます。

また、AIが誤った判断でpod削除やスケールゼロといった取り返しのつかない操作を実行するリスクも現実的です。

Stakpakとは

https://github.com/stakpak/agent

Stakpakは「Ship your code, on autopilot.」を掲げるオープンソースのDevOps AIエージェントです。Rustで書かれており、ターミナルから動作します。

2024年12月に公開され、現在のスター数は約1,500。最新バージョンはv0.3.80（2026年5月4日リリース）です。インフラコードの生成、Kubernetesのデバッグ、CI/CDの設定、デプロイの自動化を、LLMにプロダクションの鍵を渡さずに実行できる設計が特徴です。

セキュリティを支える2つの仕組み

Stakpakが他のAIエージェントと異なる核心は、セキュリティアーキテクチャにあります。

Secret Substitution（シークレット置換）は、LLMが実際のクレデンシャル値を目にすることなく読み書き・比較できる仕組みです。AIはシークレットのプレースホルダーを操作するだけで、実値はStakpak側でのみ処理されます。さらにPrivacy Modeを有効にすると、IPアドレスやAWSアカウントIDといった追加の機密情報も自動で伏字にします。

Warden Guardrails（ガードレール）は、ネットワークレベルのポリシーで破壊的な操作を実行前にブロックします。AIがpod全削除のコマンドを生成しても、ポリシーに違反していればそもそも実行されません。通信はmTLS（相互TLS）で暗号化されます。

DevOps向けの主な機能

ファイル操作はすべて自動バックアップ付きで、復元機能を持ちます。長時間かかるDockerビルドやデプロイは進捗をリアルタイムにストリーミング表示し、バックグラウンドでの非同期実行にも対応します。

インフラコードのインデックス機能では、Terraform、Kubernetes YAML、Dockerfile、GitHub Actionsファイルをローカルで自動インデックス化し、セマンティック検索で参照できます。Documentation Research AgentはCloud provider・開発フレームワークのドキュメントをウェブ検索して情報を補完します。

Rulebooks（ルールブック）は、組織のSOPやプレイブックをMarkdownで記述してエージェントに読み込ませる機能です。「本番環境のデプロイはメンテナンスウィンドウ内のみ」といった制約を自然言語で定義し、AIの行動を組織のルールに沿わせられます。

Autopilotモードではstakpak up一コマンドで24時間365日バックグラウンドで稼働するエージェントを起動できます。問題が発生したときだけSlackなどのチャンネルを通じて通知が飛びます。

インストールと始め方

macOSとLinuxはHomebrewで導入できます。

brew tap stakpak/stakpak
brew install stakpak

ワンライナーでのインストールも可能です。

curl -sSL https://stakpak.dev/install.sh | sh
stakpak init   # アプリとスタックを認識させる
stakpak up     # 24/7エージェントを起動

DockerイメージはGHCRで配布されており、docker、kubectl、aws cli、gcloud、azure cliなどDevOpsに必要なCLIツールがプリインストールされています。

対応AIモデル

Stakpak独自のAPIキーを使う方法（クレジットカード不要）のほか、Anthropic、OpenAI、Geminiの自前APIキーを持ち込む「BYOK」モードにも対応しています。OllamaやLM StudioなどOpenAI互換のローカルエンドポイントも設定できるため、完全オフライン環境でも動作します。

MCP（Model Context Protocol）サーバーとしても起動でき、外部のAIツールからStakpakのセキュリティ強化済みツール群を呼び出せます。ZedエディターではAgent Client Protocol（ACP）を使って直接連携する機能も備えています。

Claude Codeや他のコーディングエージェントとの違い

Claude CodeやGitHub Copilot Agentはコードベースへのアクセスとコーディングタスクにフォーカスしています。Stakpakはその上流、つまりインフラとデプロイメント操作に特化しており、実稼働環境を「壊さない」ための設計が最優先事項です。Kubernetes・Terraform・CI/CDといったスタックを扱うDevOpsエンジニアが主なターゲットで、コードエディターの代替ではなく運用層のオートパイロットとして位置づけられています。

Apache 2.0ライセンスで商用利用も可能です。