たにぐち まこと/学ぶ。をちゃんと
@seltzer
.envに秘密鍵とかを書くと、AIが読めちゃって危険だよと言う話題。 https://qiita.com/taketsuyo/items/4e158dbe22bc4c8d4e0d 私もCursor君に「読めるの?」と聞いたら、次の返答でした。 > 読み取れます。 >こちらが .env を読むと、その内容が会話のコンテキストに入ります。 >チャットを共有したりログが残る環境だと、APIキー・DBパスワードなどが第三者に見られる可能性があります。 >ワークスペースを開いていると参照されうる >Cursor では、開いているファイルや検索対象になったファイルは AI から参照できるため、.env に本番の秘密を書いたままにしておくこと自体がリスクになります。 >安全のための考え方 >本番の秘密は .env に書かない >開発用のみ .env に書く、または本番は別の仕組み(シークレット管理など)にする。 とのことだそうです。なるほど、運用を考えないとなんですねー。
