核心用法
Side_Peace 是一款极简的密钥传递工具,解决 AI 助手与人类之间的敏感信息共享问题。运行 node drop.js 启动本地 HTTP 服务,生成包含输入框的网页表单。人类在浏览器中粘贴密钥并提交后,密钥被写入具有 0600 权限的临时文件,仅返回文件路径而非内容本身。
显著优点
- 零外部依赖:仅使用 Node.js 内置模块,消除供应链攻击风险
- 核心安全设计:密钥永不打印到 stdout,避免泄露到聊天记录或 shell 历史
- 权限控制:临时文件默认 0600 权限,仅所有者可读
- 一次性使用:接收密钥后服务自动终止,减少暴露窗口
- 代码极简:约 60 行代码,易于审计
- 灵活配置:支持自定义标签、输出路径和端口
潜在局限
- 网络暴露:默认监听所有网络接口,需确保处于可信网络环境
- 无传输加密:HTTP 明文传输,存在中间人嗅探风险
- 临时文件残留:若进程异常中断,可能留下未清理的密钥文件
- 单用户限制:同时仅支持一个密钥接收,无并发处理
- 浏览器依赖:需要人类操作浏览器,无法纯命令行交互
适合人群
- 需要向 AI 助手传递 API 密钥、令牌等敏感凭证的开发者
- 对 npm 供应链安全有顾虑、倾向零依赖方案的用户
- 本地开发环境或可信内网中的密钥传递场景
常规风险
主要风险在于 HTTP 明文传输,建议仅在 localhost 或 VPN 保护的内网使用。使用后务必及时删除临时文件,避免密钥在磁盘上持久化存储。