核心用法
Side_Peace 是一种轻量级人机密钥交接方案,解决 AI 助手无法直接接收敏感凭据的安全痛点。执行 node drop.js --label "密钥名称" 启动本地 HTTP 服务器,生成包含随机路径的临时文件 URL,人类用户在浏览器中粘贴密钥并提交,密钥以 0600 权限写入指定临时文件后服务器立即退出。全程仅约 60 行 Node.js 原生代码,零外部依赖。
显著优点
日志安全隔离:核心设计亮点在于密钥永不输出到 stdout,仅返回文件路径,彻底杜绝聊天日志、终端历史、进程监控中的意外泄露。相比环境变量注入或剪贴板方案,大幅降低横向攻击面。
极简可审计:纯 Node.js 内置模块实现,无 npm 依赖树带来的供应链风险,代码量极少便于人工审计。支持自定义端口和输出路径,灵活适配 CI/CD 与本地开发场景。
单次会话设计:服务器接收即退出,避免长驻监听带来的端口占用和暴力破解窗口。
潜在局限
网络暴露风险:启动后生成 http://<local-ip>:<port> 链接,若代理环境存在多用户或网络隔离不当,可能被局域网内其他主机截获。建议配合防火墙或限定 127.0.0.1 使用。
传输层无加密:HTTP 明文传输,虽限于局域网仍存在中间人嗅探可能。高敏感场景建议叠加 TLS 隧道或 SSH 端口转发。
临时文件残留:依赖用户显式删除,若脚本异常中断或遗忘清理,密钥将以明文形式驻留磁盘直至系统清理 /tmp。
适合人群
- 需频繁向 AI 助手交接 API 密钥、访问令牌的技术人员
- 对供应链安全敏感、拒绝引入第三方 npm 包的安全意识用户
- 本地开发环境需快速、可审计密钥传递的开发者
常规风险
- 浏览器表单存在钓鱼页面仿冒风险,需确认 URL 为本地生成
- 多人共享机器时,0600 权限仅隔离同用户其他进程,跨用户无保护
- 终端历史记录仍可能捕获文件路径,虽不含密钥内容但仍属信息泄露