Side Peace

🍒 50行代码,人→AI安全传密钥

零依赖安全密钥传递,约50行纯Node.js代码,人通过浏览器表单提交敏感信息,AI代理CLI实时接收,内存驻留不留痕。

收藏
6.3k
安装
2.5k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

Side_Peace 核心用法

Side_Peace 是一种极简架构的密钥/敏感信息传递方案,用于解决"人类如何安全地将机密数据交给AI代理"的痛点。整个系统仅依赖Node.js内置http模块,无需安装任何npm包。

工作流程:
1. AI代理运行node drop.js启动本地HTTP服务器

2. 终端输出本地/网络URL,代理将URL分享给人类

3. 人类在浏览器中打开表单,粘贴密钥并提交

4. 代理CLI实时接收明文密钥,服务器立即退出

显著优点:

  • 零供应链攻击面:无第三方依赖,~50行代码2分钟可审计完毕
  • 零持久化:密钥仅驻留内存,不写入磁盘、不留日志
  • 一次性使用:单次传输后进程终止,降低暴露窗口
  • 网络灵活:默认绑定0.0.0.0,可配合Tailscale/ngrok实现安全远程传输
  • 极简交互:无需加密学背景,浏览器表单对终端用户零门槛

潜在局限:

  • 明文传输:HTTP无TLS,本地网络需可信;公网传输必须配合隧道工具
  • 无身份验证:任何获取URL的人都能提交数据(短期窗口可缓解)
  • 无确认机制:提交后无法撤回或验证接收方
  • 单用户限制:不支持并发多用户场景
  • 依赖Node环境:目标机器需预装Node.js

适合人群:

  • 需要快速、临时传递API密钥、令牌给AI代理的开发者
  • 对npm供应链攻击高度警惕的安全敏感用户
  • 内网/私有网络环境下的DevOps自动化场景
  • 不想部署复杂密钥管理系统(KMS)的小型团队

常规风险:

  • URL泄露导致中间人截获(建议配合Tailscale等零信任网络)
  • 浏览器/终端历史记录残留(建议配合clear或专用环境)
  • 本地网络ARP欺骗攻击(公共WiFi场景禁用)
  • 进程崩溃导致密钥残留内存(概率极低,重启可缓解)

Side Peace 内容

手动下载zip · 2.6 kB
drop.jstext/javascript
请选择文件