警惕编码Agent本地记录泄露API密钥
AccomplishedLab3697 · reddit · 2026-07-14
使用 Claude Code、Cursor 等编码 Agent 时,所有对话记录会永久保存在本地磁盘(如 `~/.claude`)。如果用户曾在对话中粘贴 API 密钥或打印环境变量,这些敏感信息会以明文形式留存,极易随备份或屏幕共享泄露。 为解决此问题,开发者推出了专门的清理工具,支持扫描约 29 种 Agent 的本地历史记录,匹配数百种密钥模式。该工具完全离线运行,默认仅扫描不自动修改,支持备份和撤销。建议使用时让 Agent 先对工具仓库进行安全审查。