Gerencie Segredos com Cuidado
Ferramentas de IA leem seus arquivos e, às vezes, compartilham contexto com um serviço remoto. Isso torna o vazamento de segredos um risco real. Construa bons hábitos desde o primeiro dia:
- Nunca coloque chaves reais no código. Use variáveis de ambiente e um arquivo
.env. - Sempre coloque seu
.envno gitignore. Faça de um.env.examplecom placeholders vazios, para que a IA saiba o que é necessário sem ver os valores. - Delimite as chaves com escopo estreito e rotacione qualquer coisa que possa ter sido exposta.
- Diga à IA, no seu arquivo de contexto, para nunca fixar segredos no código nem fazer commit deles.
Uma regra bem enfática como Never read or print the contents of .env no seu AGENTS.md é um seguro barato. Assim como um hook de pre-commit ou uma ferramenta de varredura de segredos que recusa um commit contendo algo parecido com uma chave — defesa em profundidade importa aqui porque o custo de um vazamento é assimétrico. Uma chave enviada a um repositório público está comprometida no exato momento em que chega lá, mesmo que você a apague segundos depois, porque robôs vasculham commits em tempo real. Na dúvida, presuma que uma chave exposta está queimada e rotacione-a; rotacionar uma chave leva um minuto, enquanto limpar a bagunça depois de um vazamento pode levar dias.