Claude Code спокойно читает .env и весь файл улетает в API. Кто как ограждает секреты

[krayzie]

Дебажил вчера интеграцию с ЮKassa, агент по ходу дела сделал cat .env и поехал дальше. То есть прод ключ кассы, токен телеграм бота и DSN от боевого постгреса теперь лежат в истории сессии и улетели в API. Никакого злого умысла, ему просто надо было посмотреть имя переменной.

Добавил в settings.json deny на Read для .env и .env.*, так он через пять минут сделал grep YOOKASSA .env и так же все увидел, потому что это уже Bash а не Read.

Понимаю что вероятность что эти ключи кто-то реально использует около нуля, но осадочек. Плюс у нас в договоре с одним заказчиком прямо написано что креды не должны покидать контур. Как вы это решаете? Реально все секреты из файлов выносить?

[sabaza]

никак не решаю. твой токен телеграм бота никому в анфропике не уперся, не льсти себе

[chrisy]

Решается слоями, одного deny мало.
1. deny в permissions на Read(.env*) плюс PreToolUse хук, который режет любую bash команду где встречается .env. Да, хук обходится, но 95 процентов случайных чтений ловит.
2. Секретов в файлах нет вообще. direnv + 1password cli, в .env лежат только op:// ссылки, реальные значения подтягиваются в момент запуска приложения. Агент видит ссылки, толку от них ноль.
3. На клиентских проектах с контуром: dev контейнер с дев-ключами, прод кредов на машине разработчика просто не существует.
После того как у меня один раз ключ AWS уехал в контекст, ротировал все за вечер, с тех пор так живу.

[arich]

твой токен телеграм бота никому в анфропике не уперся

Дело не в уперся. У нас заказчик банк из топ-20, в договоре прямым текстом запрещена передача кредов в зарубежные сервисы, и на аудите ИБ спрашивают не что украли, а что покинуло контур. Найдут в логах cat .env при включенном агенте, и это минус контракт плюс неустойка. Для пет-проекта пофигизм ок, для b2b нет.

[Macrano]

вообще если DSN боевого постгреса лежит в .env на рабочем ноуте, проблема не в клоде. прод секреты живут в vault и в секретнице деплоя, на ноуте им делать нечего. агент тут просто подсветил бардак, скажи ему спасибо

[grumpylurker]

хук обходится, но 95 процентов случайных чтений ловит

Подтверждаю что обходится, причем агент это делает даже без злого умысла. У меня чтение .env было закрыто, так он написал однострочник на питоне с os.environ и распечатал все переменные процесса, формально ни одного запрещенного паттерна в команде. Так что соглашусь с твоим же пунктом 3: единственная рабочая граница это окружение, в котором секретов физически нет. Все остальное театр. Полезный, но театр.

[scottray]

@chrisy, докер + дев-ключи и не париться. агенту прод вообще не должен быть доступен, тогда и сливать нечего