side-peace

Side_Peace 是一款专为解决人机之间敏感信息传递而设计的极简安全工具，采用零依赖架构实现从人类到 AI Agent 的安全密钥交接。

核心用法：该工具通过 Node.js 内置模块启动本地 HTTP 服务器，生成随机 URL 供人类访问。用户在浏览器表单中粘贴 API Key、Token 等敏感信息后，数据通过 POST 请求发送至本地服务器，随即被写入具有 0600 权限的临时文件（仅所有者可读写），随后服务器立即关闭。Agent 从临时文件读取密钥使用后可立即删除，整个过程密钥内容绝不打印到 stdout 或日志中。

显著优点：首先，零外部依赖设计（仅使用 Node.js 内置 http/fs/os 等模块）消除了供应链攻击风险，约 60 行代码完全可审计。其次，安全设计严谨，通过文件权限控制和输出抑制确保 Secrets 不会意外泄露到聊天日志或终端历史。此外，一次性使用机制（接收后立即关闭服务器）减少了攻击窗口。

潜在局限：作为 T3 来源的个人项目，缺乏官方组织背书和长期维护保障。默认监听 0.0.0.0 虽便于跨设备使用，但在共享网络环境中可能暴露给局域网其他用户。临时文件需用户手动清理，缺少自动过期或销毁机制。在高安全要求的多用户系统中，root 用户仍可读取 0600 权限文件。

适合群体：主要面向本地开发环境的开发者、DevOps 工程师以及使用 AI Agent 的技术用户，特别适用于需要频繁输入 API 密钥但担心密钥泄露到对话历史或日志中的场景。

使用风险：在公共或共享网络环境中，若未配置防火墙，局域网内其他设备可能访问提交端口。建议通过自定义绑定 127.0.0.1 限制本地访问。临时文件若未及时删除，可能在系统中长期留存敏感信息。对于生产环境高安全需求，建议迁移至专业的 Secret 管理系统（如 HashiCorp Vault）。