Gestiona los secretos con cuidado
Las herramientas de IA leen tus archivos, y a veces comparten contexto con un servicio remoto. Eso convierte a las claves filtradas en un riesgo real. Construye buenos hábitos desde el primer día:
- Nunca pongas claves reales en el código. Usa variables de entorno y un archivo
.env. - Siempre ignora tu
.enven . Confirma un.env.examplecon marcadores de posición vacíos para que la IA sepa qué se necesita sin ver los valores. - Delimita las claves de forma estrecha y rota cualquiera que pueda haberse expuesto.
- Dile a la IA en tu archivo de contexto que nunca codifique ni confirme secretos.
Una regla contundente como Never read or print the contents of .env en tu AGENTS.md es un seguro barato. También lo es un hook de pre-commit o una herramienta de escaneo de secretos que rechace un que contenga algo que parezca una clave; la defensa en profundidad importa aquí porque el costo de una filtración es asimétrico. Una clave subida a un repositorio público queda comprometida en el momento en que aterriza, incluso si la borras segundos después, porque los bots rastrean los commits en tiempo real. Ante la duda, asume que una clave expuesta está quemada y rótala; rotar una clave toma un minuto, mientras que limpiar el desastre después de una filtración puede tomar días.