Sieve : Scanneur local de secrets pour historiques de chats d’outils de codage IA

Sieve est une application macOS qui détecte les secrets divulgués (clés API, tokens, mots de passe) dans l'historique des conversations des assistants de codage IA. Elle cible un angle mort : alors que les scanners git standard ignorent ces stockages locaux de transcriptions, Sieve lit les bases de données SQLite et les fichiers texte brut où les agents enregistrent leurs actions.
Ce qu'il analyse
- Claude Code (~/.claude/)
- Cursor (Application Support/Cursor/)
- VS Code Copilot (Application Support/Code/)
- VS Code Insiders (Application Support/Code - Insiders/)
- Windsurf (Application Support/Windsurf/)
- Codex (~/.codex/)
- Fichiers .env dans vos répertoires de projet
Fonctionnalités clés
- Analyse 100 % locale — aucune requête réseau, aucune télémétrie, aucun compte requis.
- Signalement basé sur la gravité des secrets détectés.
- Occultation directement dans les bases de données SQLite des discussions VS Code (.vscdb), avec sauvegardes horodatées avant modifications.
- Coffre-fort — les nouvelles valeurs secrètes sont stockées dans le Trousseau macOS, jamais exposées ; la copie nécessite Touch ID ou le mot de passe de connexion.
- Intégration MCP — un serveur MCP local pour Claude Code permettant de vérifier les secrets exposés, de consulter les résultats et d'exécuter des commandes avec des informations d'identification injectées depuis le coffre-fort sans révéler les valeurs secrètes brutes.
- Noyau open source (SieveCore).
Modèle d'autorisations
Sieve utilise les signets à sécurité renforcée de macOS. Au premier lancement, vous accordez l'accès en lecture au dossier de chaque outil via une boîte de dialogue Ouvrir standard. Aucune autre invite après l'octroi initial.
Préoccupation pratique
Les outils de codage IA lisent systématiquement les fichiers .env dans le cadre de leur fonctionnement normal. Chaque secret qu'ils touchent est intégré dans leurs fichiers locaux de transcription/état — non chiffré, en dehors de .gitignore, persistant indéfiniment. Sieve comble le vide que gitleaks et detect-secrets laissent.
Disponible sur le Mac App Store pour 9,99 $. Nécessite macOS 13.0 ou ultérieur. Taille : 4 Mo.
📖 Lire la source complète : HN AI Agents
👀 See Also

Sécurisez et Protégez OpenClaw en Seulement 2 Minutes avec l'Isolement Basé sur le Noyau Nono
Les utilisateurs d'OpenClaw peuvent désormais bénéficier d'une sécurité renforcée sans compromettre les performances, grâce à l'isolation basée sur le noyau Nono, une solution rapide et efficace qui ne prend que deux minutes.

La commande de revue de sécurité de Claude présente des limites pour les systèmes de production.
Un développeur a trouvé la commande de revue de sécurité de Claude utile pour la validation de base comme les types MIME et les limites de taille de fichiers, mais insuffisante pour le durcissement en production contre les menaces sophistiquées. La solution a nécessité une refonte architecturale de deux semaines séparant le traitement des fichiers dans un worker restreint avec des permissions limitées.

Utilisation de FastAPI Guard pour sécuriser les instances OpenClaw contre les attaques
FastAPI Guard fournit un middleware qui ajoute 17 contrôles de sécurité incluant le filtrage d'IP, le blocage géographique, la limitation de débit et la détection d'intrusion. L'outil bloque des attaques comme celles documentées dans les audits de sécurité OpenClaw montrant 512 vulnérabilités et plus de 40 000 instances exposées.

Fiche de référence sur la gestion de la surface d'attaque open-source publiée
Un développeur a publié une feuille de triche open-source pour la gestion de la surface d'attaque, qui couvre des flux de travail pratiques, des outils et des références. Le projet comprend des sections sur la découverte d'actifs, le suivi de l'infrastructure, les outils de reconnaissance, les flux de travail d'automatisation et les ressources d'apprentissage.