Cursor用戶3個(gè)月泄露12000條密鑰

2024年，GitHub上平均每天有3000個(gè).env文件被意外提交。比這更隱蔽的危險(xiǎn)是：你的AI助手正在實(shí)時(shí)讀取這些文件，而你渾然不覺(jué)。

開(kāi)發(fā)者@harelba在Hacker News的帖子火了。他算了一筆賬：用Cursor寫代碼時(shí)，AI為了"理解上下文"會(huì)掃描整個(gè)項(xiàng)目目錄——包括你的數(shù)據(jù)庫(kù)密碼、AWS密鑰、OpenAI API令牌。他的團(tuán)隊(duì)做過(guò)測(cè)試，一個(gè)包含生產(chǎn)環(huán)境憑證的.env文件，在正常使用Cursor 20分鐘后，被觸發(fā)了47次讀取請(qǐng)求。

「這不是Cursor的bug，是所有AI編碼助手的默認(rèn)行為?！?/p>

問(wèn)題在屏幕共享時(shí)更致命。你打開(kāi)終端演示項(xiàng)目，AI側(cè)邊欄自動(dòng)索引文件，觀眾還沒(méi)看清代碼，你的Stripe密鑰已經(jīng)以縮略圖形式閃過(guò)。去年Stripe官方報(bào)告提到，因開(kāi)發(fā)者意外暴露密鑰導(dǎo)致的欺詐交易，單月?lián)p失超過(guò)180萬(wàn)美元。

從"裸奔"到"穿隱身衣"：Kimu的解法

一個(gè)獨(dú)立開(kāi)發(fā)者用Rust和Tauri做了款工具Kimu，思路很刁鉆：不讓AI讀到真密鑰，但讓程序正常運(yùn)行。

傳統(tǒng)方案是加密.env文件，但解密時(shí)密鑰放哪？放另一個(gè)文件？那不過(guò)是俄羅斯套娃。Kimu的做法是干脆不寫進(jìn)文件。

它用占位符替代真實(shí)值：

改造前（AI能讀到）：

DATABASE_URL=postgres://user:SuperSecretPassword@localhost/db

OPENAI_API_KEY=sk-proj-xxxxxxxxxxxxxxxxxxxxxxxx

改造后（AI讀到的是空氣）：

DATABASE_URL=SECRET{{DB_PASSWORD}}

OPENAI_API_KEY=SECRET{{OPENAI_KEY}}

真實(shí)密鑰存在操作系統(tǒng)原生鑰匙串——macOS的Keychain、Windows的Credential Manager。這是蘋果和微軟花二十年打磨的堡壘，連瀏覽器存密碼都用它。

一行命令，零代碼改動(dòng)

Kimu的CLI設(shè)計(jì)很產(chǎn)品經(jīng)理思維：開(kāi)發(fā)者最討厭改現(xiàn)有工作流。

以前你跑項(xiàng)目：

npm run dev

現(xiàn)在：

kimu run -- npm run dev

就加了個(gè)前綴。Kimu在內(nèi)存里完成密鑰注入，子進(jìn)程看到的process.env和原來(lái)一模一樣。Next.js、Vite、Python、Go，都不需要改代碼。

技術(shù)實(shí)現(xiàn)上有個(gè)細(xì)節(jié)：現(xiàn)代框架對(duì).env文件有嚴(yán)格的加載優(yōu)先級(jí)，比如Next.js會(huì)按.env.local → .env → .env.production的順序覆蓋。Kimu的CLI會(huì)自動(dòng)掃描并尊重這個(gè)順序，避免"本地配置被意外覆蓋"的坑。

一個(gè)可執(zhí)行文件，兩種人格

Kimu的架構(gòu)有點(diǎn)意思。同一個(gè)二進(jìn)制文件：

帶run參數(shù) → 純命令行工具，靜默運(yùn)行

不帶參數(shù) → 啟動(dòng)Tauri桌面應(yīng)用，React寫的UI

桌面端用來(lái)管理密鑰：添加、編輯、打標(biāo)簽。所有數(shù)據(jù)本地存儲(chǔ)，零網(wǎng)絡(luò)請(qǐng)求。開(kāi)發(fā)者@harelba在GitHub README里特別強(qiáng)調(diào)：「Nothing is sent to the cloud. Everything is kept strictly on your local machine.」

加密邏輯完全委托給Rust的keyring crate，不自己造輪子。這是安全領(lǐng)域的鐵律：專業(yè)的事交給專業(yè)的組件。

開(kāi)源社區(qū)的反饋

項(xiàng)目在GitHub上線兩周，收獲的關(guān)注點(diǎn)很分散。有人夸Tauri v2的桌面體驗(yàn)流暢，有人討論"占位符語(yǔ)法要不要支持嵌套"，更多人問(wèn)：能不能集成1Password/Bitwarden？

@harelba的回復(fù)很克制：「PR welcome，但核心原則不變——真密鑰永不落地磁盤?！?/p>

目前提供macOS .dmg和Windows .exe預(yù)編譯包。Linux用戶需要從源碼構(gòu)建，因?yàn)楦靼l(fā)行版的鑰匙串實(shí)現(xiàn)差異太大。

一個(gè)被反復(fù)提及的場(chǎng)景是CI/CD流水線。Kimu目前專注本地開(kāi)發(fā)，但占位符思路確實(shí)啟發(fā)了團(tuán)隊(duì)：如果把密鑰注入環(huán)節(jié)從"文件讀取"改為"運(yùn)行時(shí)注入"，很多容器泄露事故可以避免。

GitHub倉(cāng)庫(kù)的Star數(shù)在緩慢爬升。沒(méi)有營(yíng)銷，沒(méi)有Product Hunt沖榜，純靠開(kāi)發(fā)者口口相傳。畢竟，"防止AI偷看密碼"這個(gè)痛點(diǎn)，只有真的被坑過(guò)的人才會(huì)痛。

你現(xiàn)在的.env文件里，有幾行是AI不該看到的？