密钥泄露检测
在提交、公开或分享代码的“前一刻”,把代码或配置粘贴进来,检测硬编码的 API key、token 和私钥,让你在泄露之前就发现它们。全部在浏览器内处理,粘贴的内容不会被发送。
全部在你的浏览器内处理,输入绝不会发送到服务器。
粘贴代码或配置后,检测结果会显示在这里。第一次使用?点击上方的“试用示例”即可看到效果。
使用方法
- 1
在“即将暴露”的前一刻粘贴:使用 AI 生成的代码之前、推送到 GitHub 之前、把代码片段分享给别人之前。
- 2
检测已知的密钥格式(AWS / OpenAI / GitHub / Stripe 等)以及看起来像密钥的赋值。
- 3
一旦发现,立即吊销并轮换(rotate)该密钥。要持续防护,请走自动化(见下文)。
为什么重要
这个工具用于在密钥泄露“之前”做几秒钟的快速检查:使用 AI 生成的代码之前、推送到 GitHub 之前、把代码片段贴进 gist、论坛、博客,或发给别人、发给 AI 之前。已经进入生产环境(已公开)的密钥就等于已经泄露——那种情况的正确做法是轮换,而不是用这个工具。说实话,每次都手动粘贴是坚持不下来的。真正持久的防御是自动化:在提交时运行的 pre-commit 钩子或 CI 中的密钥扫描器(gitleaks / trufflehog),以及 GitHub 的 push protection。手动检查只是入口——用于“现在想立刻查一次”“公开前的最后一眼目检”或学习体验。
常见问题
Q进了生产环境之后再查不就晚了吗?
A
没错——已公开的密钥就已经泄露了,所以才要在它发布“之前”使用本工具。本工具针对的是提交、公开或分享的“前一刻”。万一密钥已经泄露,正确做法是轮换(全部更换)。要持续防护,请用 pre-commit 钩子或 CI 中的密钥扫描器实现自动化。
Q每次都手动粘贴坚持不下来吧?
A
对。所以本工具适用于“现在想立刻查一次”“公开前的最后一眼目检”或学习体验。日常防御应当自动化——把 gitleaks / trufflehog 接入 pre-commit 或 CI,并启用 GitHub 的 push protection。
Q我粘贴的代码会被发送到某个地方吗?
A
不会。检测完全在你的浏览器内完成(用 JavaScript 正则表达式),输入内容不会发送到服务器。
Q没有检测到就代表安全吗?
A
不是。这只是针对已知模式的轻量检测,并不全面。即使零检出,也应坚持从设计上不把密钥写死、不让其出现在公开产物中。