~/VibeHandbook
$39
阅读本书参考理念获取 PDF常见问题

02 · 06

谨慎管理机密

AI 工具会读你的文件,有时还会把上下文分享给远程服务。这让泄露机密成为一个真实的风险。从第一天起就建立好习惯:

  • **永远别把真实的密钥放进代码。**使用环境变量和一个 .env 文件。
  • **永远把你的 .env 加进 gitignore。**提交一个带空占位符的 .env.example,这样 AI 不用看到值就知道需要什么。
  • 把密钥的权限范围收窄,并轮换任何可能已被暴露的密钥。
  • 在你的上下文文件里告诉 AI 永远不要硬编码或提交机密。

在你的 AGENTS.md 里放一条响亮的规则,比如 Never read or print the contents of .env,是一份廉价的保险。一个会拒绝包含疑似密钥的提交的 pre-commit 钩子或密钥扫描工具也是——泄露的代价是不对称的,所以在这里纵深防御很重要。一个被推到公开仓库的密钥,在它落地的那一刻就已经泄露了,哪怕你几秒后就删掉,因为机器人会实时抓取提交。拿不准时,就把暴露的密钥当成已经废了,去轮换它;轮换一个密钥只要一分钟,而给一个泄露的密钥善后可能要花上好几天。

想离线阅读?

获取 PDF + EPUB + 可下载的提示词库 + 版本更新。

$ 获取 PDF — $39