Side Peace

🍒 安全密钥交接,零依赖极简方案

零依赖的极简安全密钥交接方案,通过浏览器表单收集敏感信息,避免密钥泄露到日志或终端输出。

收藏
5.1k
安装
2.5k
版本
1.1.1
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

Side_Peace 是一种轻量级人机密钥交接方案,解决 AI 助手无法直接接收敏感凭据的安全痛点。执行 node drop.js --label "密钥名称" 启动本地 HTTP 服务器,生成包含随机路径的临时文件 URL,人类用户在浏览器中粘贴密钥并提交,密钥以 0600 权限写入指定临时文件后服务器立即退出。全程仅约 60 行 Node.js 原生代码,零外部依赖。

显著优点

日志安全隔离:核心设计亮点在于密钥永不输出到 stdout,仅返回文件路径,彻底杜绝聊天日志、终端历史、进程监控中的意外泄露。相比环境变量注入或剪贴板方案,大幅降低横向攻击面。

极简可审计:纯 Node.js 内置模块实现,无 npm 依赖树带来的供应链风险,代码量极少便于人工审计。支持自定义端口和输出路径,灵活适配 CI/CD 与本地开发场景。

单次会话设计:服务器接收即退出,避免长驻监听带来的端口占用和暴力破解窗口。

潜在局限

网络暴露风险:启动后生成 http://<local-ip>:<port> 链接,若代理环境存在多用户或网络隔离不当,可能被局域网内其他主机截获。建议配合防火墙或限定 127.0.0.1 使用。

传输层无加密:HTTP 明文传输,虽限于局域网仍存在中间人嗅探可能。高敏感场景建议叠加 TLS 隧道或 SSH 端口转发。

临时文件残留:依赖用户显式删除,若脚本异常中断或遗忘清理,密钥将以明文形式驻留磁盘直至系统清理 /tmp

适合人群

  • 需频繁向 AI 助手交接 API 密钥、访问令牌的技术人员
  • 对供应链安全敏感、拒绝引入第三方 npm 包的安全意识用户
  • 本地开发环境需快速、可审计密钥传递的开发者

常规风险

  • 浏览器表单存在钓鱼页面仿冒风险,需确认 URL 为本地生成
  • 多人共享机器时,0600 权限仅隔离同用户其他进程,跨用户无保护
  • 终端历史记录仍可能捕获文件路径,虽不含密钥内容但仍属信息泄露

Side Peace 内容

手动下载zip · 4.2 kB
drop.jstext/javascript
请选择文件