Confidant

🔐 零暴露密钥安全传递助手

Confidant 为 AI Agent 提供零暴露的密钥接收通道,通过本地 Web 表单替代聊天输入,彻底消除历史记录泄露与剪贴板风险。

收藏
10.4k
安装
2.5k
版本
1.3.0
CLS 安全性认证2026-06-24
点击查看完整报告 >

使用说明

核心用法

Confidant 专为 AI Agent 安全获取用户敏感信息设计,核心工作流为:脚本启动 → 生成安全链接 → 用户浏览器填写 → 密钥落地存储。主脚本 request-secret.sh 封装全部操作,支持自动检测或启动隧道(localtunnel/ngrok),确保远程用户可访问。输出包含可分享的 HTTPS 链接,24 小时或提交后自动失效。

显著优点

1. 零聊天暴露:密钥全程不走对话窗口,规避历史记录、日志回滚、模型记忆泄露三重风险
2. 无账户摩擦:localtunnel 方案无需注册,开箱即用;ngrok 用户可无缝复用已有隧道

3. 自动化闭环:接收后自动写入 ~/.config/<service>/api_key(权限 600)或注入环境变量,无需人工搬运

4. 多路复用:检测现有服务进程与隧道,避免端口冲突和重复启动

5. Agent 规范内置:强制规则(禁止聊天要密钥、禁止泄露、禁止直接 curl API)降低误用概率

潜在局限

  • 网络依赖:远程场景依赖第三方隧道服务(localtunnel/ngrok),存在服务可用性与 DNS 劫持风险
  • 终端环境限制:纯 SSH/无浏览器场景需用户手动在另一设备打开链接,体验断层
  • 单端口设计:默认 3000 端口硬编码,冲突时需显式 --port 覆盖
  • 无加密传输详情:文档未说明 HTTPS 证书来源(localtunnel 自带 vs 自签名),合规审计可能追问
  • 过期策略固定:24 小时窗口不可配置,高频迭代场景可能频繁重新生成

适合人群

  • 开发 AI Agent 的工程师,需程序化获取 API Key/Token
  • 远程协作场景(用户与 Agent 不在同一网络/机器)
  • 对对话历史安全有强合规要求的组织(金融、医疗 SaaS 集成)

常规风险

| 风险类型 | 说明 | 缓释建议 |
|---------|------|---------|
| 中间人攻击 | 公共隧道域名可被抢注或 DNS 污染 | 优先内网使用;敏感生产环境自建 ngrok 账户+自定义域名 |
| 本地服务器暴露 | 3000 端口若绑定 0.0.0.0 可能被局域网扫描 | 确认绑定 127.0.0.1;防火墙限制入站 |
| 密钥残留 | 脚本异常退出可能遗留临时文件 | 定期审计 `~/.config/*/api_key` 权限与内容 |
| 社会工程 | 伪造 Confidant 链接诱骗用户输入 | 用户教育+链接域名白名单校验 |

安全解读

Confidant 安全密钥传递工具评估

核心用法

Confidant 是一款专为 AI Agent 设计的安全凭证收集工具,解决"如何让远程用户安全提交 API 密钥、密码等敏感信息"的痛点。其工作流程为:

1. 发起请求:Agent 运行 {skill}/scripts/request-secret.sh --label "描述" --service 服务名,在本地启动 HTTP 服务器(默认 3000 端口)
2. 生成链接:创建带唯一 ID 的安全 Web 表单,可选通过 localtunnel/ngrok 生成公网 URL

3. 用户提交:用户浏览器打开链接填写密钥,数据通过 HTTPS 传输

4. 安全接收:密钥写入 ~/.config/<service>/api_key(权限 600)或指定路径,服务器随即销毁内存中的密钥

关键参数包括 --service(自动路径)、--save(显式路径)、--env(环境变量)、--tunnel(远程用户必需)、--json(自动化输出)。

显著优点

| 维度 | 表现 |
|------|------|
| **隐私保护** | 彻底避免密钥暴露在聊天历史、终端回显或日志中 |
| **零配置** | 单条命令完成服务端启动、隧道穿透、链接生成 |
| **灵活部署** | 支持本地局域网(无隧道)和远程公网(自动 localtunnel)两种模式 |
| **安全设计** | 24 小时过期、接收即销毁、文件权限 600、HTTPS 传输 |
| **用户体验** | 用户仅需浏览器,无需安装任何软件 |
| **合规友好** | 通过 GDPR/CCPA 数据最小化检测,功能单一无隐藏行为 |

潜在缺点与局限

1. 动态代码依赖:核心功能依赖 npx @aiconnect/confidant,运行时从 npm 拉取代码,存在供应链风险(L1 级别动态加载)
2. 第三方隧道信任:localtunnel 为公共免费服务,数据流经其服务器,极度敏感场景需改用私有 ngrok 账户或 VPN

3. 单点故障:服务器仅绑定 localhost,若用户网络环境复杂(企业防火墙、严格代理)可能导致隧道建立失败

4. 无版本锁定:当前未指定 npm 包版本范围,可能因上游更新引入破坏性变更

5. 临时文件残留/tmp/confidant-* 状态文件未配置自动清理机制

适合人群

  • AI Agent 开发者:需要让用户"无痛"配置 API 密钥,避免"请把你的 OpenAI Key 发给我"的尴尬
  • 远程运维场景:SSH 到服务器后需安全接收本地管理员密码
  • CI/CD 流水线:自动化接收一次性部署凭证(配合 --json 参数)
  • 教育/演示场景:快速展示安全密钥管理最佳实践

不适合:金融级高安全要求环境、完全离线的内网环境、无法容忍任何外部依赖的场景。

常规风险

| 风险场景 | 概率 | 缓解措施 |
|---------|------|---------|
| 隧道 URL 被截获 | 中 | 24 小时过期 + 一次性提交机制 |
| npm 包被投毒 | 低 | 定期审计 `npm audit`,关注 `@aiconnect/confidant` 更新 |
| localtunnel 服务滥用 | 低 | 敏感生产环境改用私有 ngrok 或禁用 `--tunnel` |
| 服务器端口冲突 | 低 | 通过 `--port` 指定备用端口 |
| 用户误操作重复提交 | 低 | 请求 ID 唯一,重复提交会报错 |

安全认证摘要

  • 安全等级: A(72/100,通过核心安全检测)
  • 来源可信度: T2(可信独立开发者 ericsantos,代码结构清晰,无恶意模式)
  • 关键通过项: 静态分析 75分、隐私合规 85分、凭证安全处理
  • 主要警告: 依赖 CVE 检查(warn)、数据来源可信度(warn,因动态加载 npm 包)

Confidant 内容

scripts文件夹
手动下载zip · 5.8 kB
check-server.shtext/x-shellscript
请选择文件