จัดการความลับอย่างระมัดระวัง
เครื่องมือ AI อ่านไฟล์ของคุณ และบางครั้งก็แชร์บริบทกับบริการระยะไกล นั่นทำให้การรั่วไหลของความลับเป็นความเสี่ยงจริง สร้างนิสัยที่ดีตั้งแต่วันแรก
- อย่าใส่คีย์จริงในโค้ดเด็ดขาด ใช้ environment variables และไฟล์
.env - ใส่
.envใน gitignore เสมอ คอมมิต.env.exampleพร้อมค่าว่างเปล่า เพื่อให้ AI รู้ว่าต้องใช้อะไรบ้างโดยไม่เห็นค่าจริง - จำกัดขอบเขตของคีย์ให้แคบ และหมุนเวียนคีย์ใด ๆ ที่อาจถูกเปิดเผยไปแล้ว
- บอก AI ในไฟล์บริบทของคุณ ว่าห้าม hardcode หรือคอมมิตความลับเด็ดขาด
กฎที่ประกาศเสียงดังอย่าง Never read or print the contents of .env ใน AGENTS.md ของคุณคือประกันภัยราคาถูก เช่นเดียวกับ pre-commit hook หรือเครื่องมือสแกนความลับที่ปฏิเสธคอมมิตที่มีสิ่งที่ดูเหมือนคีย์ — การป้องกันหลายชั้นสำคัญมากในเรื่องนี้ เพราะต้นทุนของการรั่วไหลไม่สมมาตร คีย์ที่ถูกพุชขึ้นไปยังรีโพสาธารณะจะถูกเจาะทันทีที่มันไปถึง แม้คุณจะลบมันในอีกไม่กี่วินาทีต่อมาก็ตาม เพราะบอตจะสแกนคอมมิตแบบเรียลไทม์ เมื่อไม่แน่ใจ ให้สมมติว่าคีย์ที่ถูกเปิดเผยนั้นถูกเผาไปแล้วและหมุนเวียนมันใหม่ การหมุนเวียนคีย์ใช้เวลาแค่นาทีเดียว ในขณะที่การเก็บกวาดหลังจากคีย์รั่วไหลอาจใช้เวลาเป็นวัน