シークレット漏れ検出
公開・コミット・共有の“直前”に、コードや設定を貼り付けて、ハードコードされた APIキー・トークン・秘密鍵を検出します。漏れる前に気づくためのツールです。すべてブラウザ内で処理し、貼り付けた内容は送信しません。
すべてブラウザ内で処理。入力はサーバーに送信されません。
コードや設定を貼り付けると、ここに検出結果が出ます。初めてなら上の「サンプルを試す」を押すと動きが分かります。
使い方
- 1
AIに書かせたコードを使う前・GitHubで公開する前・誰かに貼る前など、“出る直前”に貼り付けます。
- 2
既知のキー形式(AWS / OpenAI / GitHub / Stripe 等)や秘密らしき代入を検出します。
- 3
見つかったら、その鍵を無効化+ローテーション。継続的に守るなら自動化(下記)へ。
なぜ重要か
使いどころは「漏れる“前”の数秒チェック」です。AIに書かせたコードを使う前、GitHubで公開する前、Gist・フォーラム・ブログ・他人やAIにコードを貼る前——その直前に貼って確認します。すでに本番(公開済み)に出てしまった鍵は『もう漏れた』ものなので、このツールではなく即ローテーションが正解です。そして正直に言えば、毎回手で貼るのは続きません。継続的な本当の守りは自動化です:コミット時に走る pre-commit フックや CI のシークレットスキャナ(gitleaks / trufflehog)、GitHub の push protection。手動チェックは「今すぐ一回確認したい」「公開直前の最終目視」「学習・体験」のための入口です。
よくある質問
Q本番に出てからでは遅いのでは?
A
そのとおりで、公開済みの鍵はもう漏れています——だからこそ「出る前」に使います。本ツールはコミット・公開・共有の“直前”に気づくためのもの。万一すでに出てしまったら、ローテーション(全交換)が正解です。継続的に守るなら、pre-commit フックや CI のシークレットスキャナで自動化してください。
Q毎回手で貼るのは続かないのでは?
A
はい。だから本ツールは「今すぐ一回チェックしたい」「公開直前の最終目視」「学習・体験」用です。日常の防御は自動化が本命——gitleaks / trufflehog を pre-commit や CI に入れ、GitHub の push protection を有効にしてください。
Q貼り付けたコードはどこかに送られますか?
A
いいえ。検出はすべてブラウザ内(JavaScript の正規表現)で完結し、入力はサーバーに送信されません。
Q検出されなければ安全ですか?
A
いいえ。これは既知パターンの簡易検出で、網羅的ではありません。検出ゼロでも、設計として鍵を直書きしない・公開物に含めない運用が前提です。