Side Peace

🍒 零依赖安全密钥传递,密钥永不暴露终端

零依赖安全密钥传递工具,通过浏览器表单接收敏感信息并写入临时文件,确保密钥永不暴露于终端输出。

收藏
5.9k
安装
2.5k
版本
1.1.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

Side_Peace 是一款极简的密钥传递工具,解决 AI 助手与人类之间的敏感信息共享问题。运行 node drop.js 启动本地 HTTP 服务,生成包含输入框的网页表单。人类在浏览器中粘贴密钥并提交后,密钥被写入具有 0600 权限的临时文件,仅返回文件路径而非内容本身。

显著优点

  • 零外部依赖:仅使用 Node.js 内置模块,消除供应链攻击风险
  • 核心安全设计:密钥永不打印到 stdout,避免泄露到聊天记录或 shell 历史
  • 权限控制:临时文件默认 0600 权限,仅所有者可读
  • 一次性使用:接收密钥后服务自动终止,减少暴露窗口
  • 代码极简:约 60 行代码,易于审计
  • 灵活配置:支持自定义标签、输出路径和端口

潜在局限

  • 网络暴露:默认监听所有网络接口,需确保处于可信网络环境
  • 无传输加密:HTTP 明文传输,存在中间人嗅探风险
  • 临时文件残留:若进程异常中断,可能留下未清理的密钥文件
  • 单用户限制:同时仅支持一个密钥接收,无并发处理
  • 浏览器依赖:需要人类操作浏览器,无法纯命令行交互

适合人群

  • 需要向 AI 助手传递 API 密钥、令牌等敏感凭证的开发者
  • 对 npm 供应链安全有顾虑、倾向零依赖方案的用户
  • 本地开发环境或可信内网中的密钥传递场景

常规风险

主要风险在于 HTTP 明文传输,建议仅在 localhost 或 VPN 保护的内网使用。使用后务必及时删除临时文件,避免密钥在磁盘上持久化存储。

Side Peace 内容

手动下载zip · 3.2 kB
drop.jstext/javascript
请选择文件