AI Post

.envに秘密鍵とかを書くと、AIが読めちゃって危険だよと言う話題。 https://qiita.com/taketsuyo/items/4e158dbe22bc4c8d4e0d 私もCursor君に「読めるの？」と聞いたら、次の返答でした。 > 読み取れます。 >こちらが .env を読むと、その内容が会話のコンテキストに入ります。 >チャットを共有したりログが残る環境だと、APIキー・DBパスワードなどが第三者に見られる可能性があります。 >ワークスペースを開いていると参照されうる >Cursor では、開いているファイルや検索対象になったファイルは AI から参照できるため、.env に本番の秘密を書いたままにしておくこと自体がリスクになります。 >安全のための考え方 >本番の秘密は .env に書かない >開発用のみ .env に書く、または本番は別の仕組み（シークレット管理など）にする。 とのことだそうです。なるほど、運用を考えないとなんですねー。

qiita.com

Claudeが社内に広がるほど、.envが危ない。Cowork時代に必要なのは「便利さ」より秘密情報の置き場所 - Qiita

このポスト、かなり本質を突いている 正直、この投稿は「Claudeが社内で流行っている」という話より、AIエージェント時代のセキュリティの地雷をかなり端的に言い当てていると思う。 非エンジニアでもClaude CoworkやClaude Codeを利用して業務を行って...