金鑰外洩偵測
在提交、公開或分享程式碼的「前一刻」,把程式碼或設定貼進來,偵測寫死的 API key、token 和私鑰,讓你在外洩之前就發現它們。全部在瀏覽器內處理,貼上的內容不會被傳送。
全部在你的瀏覽器內處理,輸入絕不會傳送到伺服器。
貼上程式碼或設定後,偵測結果會顯示在這裡。第一次使用?點擊上方的「試用範例」即可看到效果。
使用方法
- 1
在「即將暴露」的前一刻貼上:使用 AI 產生的程式碼之前、推送到 GitHub 之前、把程式碼片段分享給別人之前。
- 2
偵測已知的金鑰格式(AWS / OpenAI / GitHub / Stripe 等)以及看起來像金鑰的賦值。
- 3
一旦發現,立即撤銷並輪替(rotate)該金鑰。要持續防護,請走自動化(見下文)。
為什麼重要
這個工具用於在金鑰外洩「之前」做幾秒鐘的快速檢查:使用 AI 產生的程式碼之前、推送到 GitHub 之前、把程式碼片段貼進 gist、論壇、部落格,或發給別人、發給 AI 之前。已經進入正式環境(已公開)的金鑰就等於已經外洩——那種情況的正確做法是輪替,而不是用這個工具。說實話,每次都手動貼上是堅持不下來的。真正持久的防禦是自動化:在提交時執行的 pre-commit 掛鉤或 CI 中的金鑰掃描器(gitleaks / trufflehog),以及 GitHub 的 push protection。手動檢查只是入口——用於「現在想立刻查一次」「公開前的最後一眼目檢」或學習體驗。
常見問題
Q進了正式環境之後再查不就晚了嗎?
A
沒錯——已公開的金鑰就已經外洩了,所以才要在它發布「之前」使用本工具。本工具針對的是提交、公開或分享的「前一刻」。萬一金鑰已經外洩,正確做法是輪替(全部更換)。要持續防護,請用 pre-commit 掛鉤或 CI 中的金鑰掃描器實現自動化。
Q每次都手動貼上堅持不下來吧?
A
對。所以本工具適用於「現在想立刻查一次」「公開前的最後一眼目檢」或學習體驗。日常防禦應當自動化——把 gitleaks / trufflehog 接入 pre-commit 或 CI,並啟用 GitHub 的 push protection。
Q我貼上的程式碼會被傳送到某個地方嗎?
A
不會。偵測完全在你的瀏覽器內完成(用 JavaScript 正規表達式),輸入內容不會傳送到伺服器。
Q沒有偵測到就代表安全嗎?
A
不是。這只是針對已知模式的輕量偵測,並不全面。即使零偵出,也應堅持從設計上不把金鑰寫死、不讓其出現在公開產物中。