【无标题】
我做了个 5.8MB 的小工具:让 AI 帮我干活,但永远拿不到我的密钥
AI 时代的"掌玺官"——AI 来奏请,你来盖章,玉玺(Token)永远不离开你手中。
一、先说个让我后背发凉的事
前段时间,某款国民级 API 工具被曝出供应链投毒:它在某个版本里执行了外部 JS,把用户本地目录下的 Token 偷偷回传了出去。
你想想这意味着什么——
如果那个被偷走的 Token,正好对应着你一个很重要的 GitLab / GitHub 仓库,那么对方就能:
- 访问你的所有私有仓库
- 把代码全部克隆下来
- 甚至直接改、直接删
我们已经一步步进入 AI 时代了,但有一个安全问题,很少有人认真想过:
当 AI 帮你干活的时候,它手里到底攥着多少你的密钥?
你让 Claude Code 帮你提交代码,它需要 Git 的 Token;
你让它查 GitLab、查 GitCode、查公司内部系统,它要一堆 Token;
你用的还可能是第三方中转站——那你提交的所有信息,先过了别人的服务器一道手。
这些 Token,此刻正以明文的形式,躺在 AI 的上下文窗口里、聊天记录里、日志里、甚至被同步到云端的 shell 历史里。
这跟把家门钥匙复印一份扔在大街上,没有本质区别。
所以我花了 3 个月,做了一个工具来解决这件事。它叫 Sigil(掌玺)。
二、它到底解决什么问题
先划清一条界线:
传统密码管理器(1Password / Bitwarden)解决的是「人记不住密码」的问题;
而 Sigil 解决的是「AI 帮你干活时,该如何安全地拿到密钥」的问题。
这是两件完全不同的事。
Sigil 做的事情其实很简单,就四步:
- 把你所有的 Token、密码、私钥,落进操作系统密钥环 + AES-256-GCM 双层加密
- 在本地起一个 MCP 服务,让 AI 客户端通过标准协议来调用「能力」
- 当 AI 想"连服务器查日志""帮我 push 代码"时,由 Sigil 在内部解密凭据 → 执行 → 把结果脱敏后回传
- 整个过程,AI 从未见过任何一个明文 Token 或密码
打个比方就是:
AI 是来奏请的大臣,你是掌玺官。大臣说"这件事要盖章",你来盖,但那枚玉玺,永远不离开你的金库。
三、它能干什么(100+ 内置能力)
Sigil 不只是个"保险箱",它本身封装了大量开箱即用的能力,AI 连上 MCP 就能直接调,全程不碰你的凭据:
| 能力类别 | 具体能做什么 |
|---|---|
| 代码托管 | GitHub / Gitee / GitCode 三平台:推送、拉取、建仓、删仓、查提交、改文件、发 Release |
| 对象存储 | R2 / S3 兼容存储:上传、下载、列举、签发临时直链 |
| HTTP API 代理 | 任意带 Key 的 SaaS API,凭据由 Sigil 内部注入 |
| 自定义能力 | 不用写一行代码,在界面里配置 HTTP 模板,就能把内部 API 纳入 AI 工具集 |
| 强密码 / TOTP | 生成强密码、获取两步验证码 |
举几个视频里实测过的场景:
- 跟 AI 说一句"用 Sigil 把改动提交到 GitCode",它就自动找到对应凭据、完成 push,你从头到尾没碰 Token;
- 让 AI"一次性把这个账号下 200 个仓库全克隆下来",它批量执行,不用你一个个手动操作;
- 让 AI"创建一个新仓库",按规范强制设为私有(公开仓库太危险),并自动写好 README。
四、安全是怎么做到的
这是整个产品的核心,我重点讲三个设计:
1. 凭据明文永不外泄
- 录入后立刻用 AES-256-GCM 加密,落进 Windows 凭据管理器 / macOS 钥匙串这类系统密钥环
- 数据库(SQLite)里只留元数据:名称、类型、过期时间、最近使用时间——没有明文
- 连 UI 自己都看不到 Token,编辑时显示的是
••••••••,留空就表示"不修改" - 哪怕你的数据库被整个偷走,别人也拿不到任何一个明文凭据
2. 危险操作强制审批
不是所有操作都放行。像删除仓库这种不可逆的危险操作,Sigil 会弹出独立的审批窗口,让你有时间确认——批准了才执行,不批准就拦下。日常的 push / pull 这类安全操作则只在右下角轻提示,不打扰你。
3. 全程审计 + 输出脱敏
- 每一次凭据 / 能力的使用都留痕:时间、调用者、用了哪个能力、成功还是失败
- Token 值不入库,只留 hash 和脱敏摘要
- 进出 MCP 的内容经过 Hook 双向拦截,万一响应里带了明文密钥,自动替换成
[REDACTED:xxx]占位
一句话:AI 能力很大,但它的权限边界,由你通过 Token 范围精确控制。
五、它还很小、很省心
- 整个安装包只有 5.8MB(对比一下,同类 Electron 工具动辄 120MB+)
- 基于 Tauri 2.x + Rust 构建,跨平台支持 Windows / macOS / Linux
- 内置自动更新、开机自启、最小化到托盘
- 还自带一个 AI 对话功能,不用外部客户端,应用内就能直接跟大模型聊、让它调能力
- 支持本地备份 / 还原、WebDAV 云同步(导出加密、需密码)
麻雀虽小,五脏俱全。
六、谁适合用
| 你是 | 用 Sigil 做什么 |
|---|---|
| DevOps / SRE | 让 Claude / Cursor 帮你查日志、拉指标、跑远程命令,不用把凭据贴进对话框 |
| 后端开发 | 把 GitHub / 公司内部 API 的 Token 集中托管,AI 写完代码自动 push |
| 安全意识强的个人开发者 | 一切凭据本地优先:无云同步、无远程托管、无需信任任何第三方 |
| 技术管理者 | 给不同 AI 客户端签发范围受限的 Token,按能力白名单精细授权,全程可审计 |
只要你在用 Claude Code、Cursor、Cline、Zed 这类 MCP 客户端,Sigil 都能零适配接入。
七、现在就可以上手
Sigil 完全免费下载,5 分钟就能跑通第一个完整闭环(录入凭据 → 启动 MCP → 接入 Claude Code → AI 代你查仓库,而你的 Token 全程不出现在对话里)。
🌐 官方网站 / 下载:https://sigil.ruoyi.plus
📖 使用文档:https://sigil.ruoyi.plus/docs
📺 B 站完整视频讲解:https://www.bilibili.com/video/BV1cKJH67EmC/
视频里我从头演示了一遍:怎么录凭据、怎么接入 Claude Code 和 Cursor、怎么让 AI 帮你 push 代码 / 建仓库 / 删仓库(含危险操作审批),20 分钟看完你就全明白了。
写在最后
现在的 AI 太多了,你没法保证每一个 AI、每一个中转站都"绝对不碰你的隐私密钥",更没法保证它们拿到之后"绝对不拿去做别的"。
与其赌人性,不如从架构上让它根本拿不到。
把能力交给 AI,把钥匙留在自己手里——这就是 Sigil 想做的事。
如果你也在用 AI 帮忙写代码、跑运维,欢迎去官网下载试试,用下来有什么建议,B 站评论区或私信都能找到我。
抓蛙师出品 · 覆盖全栈开发、AI 效率工具、桌面应用三大场景
官网:https://sigil.ruoyi.plus | B 站:https://www.bilibili.com/video/BV1cKJH67EmC/
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
6
0- 0
已为社区贡献14条内容
所有评论(0)