2作者: radku12 天前原帖
一个过程无法泄露它从未拥有的秘密。 Shai-hulud、提示注入——你可以随便说。他们无法窃取你的代理(或一个过程)所没有的东西。 我大部分时间在自己的机器上运行编码代理(Claude Code、Codex)。它们每一个都希望在环境变量中拥有真实的API密钥,而我在过去几个月里一直在思考如何控制这一点。 对此的常见回答是使用防火墙。但我不这么认为。防火墙试图限制一个过程仍然持有的秘密,而规则的维护非常麻烦。 AVP给代理一个占位符,并在最后一刻通过网络注入真实的值: ``` # 代理的环境变量中只包含一个占位符 STRIPE_API_KEY=avp-placeholder # 代理发送: Authorization: Bearer avp-placeholder # AVP 向上游转发: Authorization: Bearer sk_live_...真实值... ``` 将你的密码保存在它们应该在的保险库中。AVP最初依赖Bitwarden作为秘密管理器。它是MIT许可证的。 欢迎任何反馈。