Comments 15
Классная статья, и подробно все. Пока применяю tier 0 контур безопасности для локально работающих проектов, без гит коммитов, которые однако дергают АПИ с интернета.
Хороший практические советы по безопасности, очень хорошие описания и объяснения.
Огонь, спасибо
Я в целом не узнал ничего нового, но не утверждаю что это не может быть полезно для новичков.
Но кроме сливов ключей в гит (чем могут согрешить только самые новички), есть опасность другого уровня - слив ключей самому ИИ, который обычно находится в облаке у openai или anthropic (и хорошо если напрямую без дополнительных агрегаторов).
И у них конечно есть своя безопасность на такой случай, в конце концов все сообщения с ии не публичны, но любом случае контролировать то что с этим ключом будет дальше и не даст ли она его в ответ кому-то другому после дообучения невозможно.
Ещё в самом посте много воды и разжовывания, у меня появляется сильное ощущение того что пост написан на 100% ии.
Я это было на вайбкодеров-новичков рассчитано. Крайне много народа даже не в курсе про gitleaks и краулеров например.
На тему слива - тут сложнее, вызов шелл может быть каким-угодно и ты даже хуком этого не гарантируешь. Тут разве что ллмпрокси-фильтр на любой запрос и маскировать
Текст на 100% написан человеком, но вычищен и потом переправлен ИИшкой от ошибок, за что меня часто ругают на хабре, да, я безграмотный)
Тоже ожидал увидеть, как оградить агентов от ключей, какие-то хитрые схемы (помимо банального запрета на чтение .env, что они с лёгкостью обходят), но вся суть статьи — как не хардкодить ключи в коде и не забыть про .gitignore. А воды-то…
Ну вообще она куда шире, тут рассказывается новичка от того что такое сикреты, до того как они обычно прописываются для пет проектов, какие проблемы это может повлечь, рассказывается про стандартные инструменты безопасности и чека утечки сикретов и дается готовый скилл который принудительно настраивает проект
Я прошу прощения, но если прочитать статью целиком, там буквально даются хитрые схемы в виде готовых лайфцикл хуков от опенкода до антигравити со скриптами
Понравилось.
Почитав бегло, я понял, что правильно делаю, когда не выкладываю исходники своего пет-проекта.
Я один в своем проекте и мне не с кем и не за чем делиться. А то, что все думают, что я товарищ маёр, то может даже и к лучшему))
Где можно сделать авторитетный аудит безопасности?
Гайд по безопасности вайб-кодинга: что сделать, чтобы не слить данные в прод