Sieve : Scanneur local de secrets pour historiques de chats d’outils de codage IA
Sieve est une application macOS qui détecte les secrets divulgués (clés API, tokens, mots de passe) dans l'historique des conversations des assistants de codage IA. Elle cible un angle mort : alors que les scanners git standard ignorent ces stockages locaux de transcriptions, Sieve lit les bases de données SQLite et les fichiers texte brut où les agents enregistrent leurs actions.
Ce qu'il analyse
- Claude Code (~/.claude/)
- Cursor (Application Support/Cursor/)
- VS Code Copilot (Application Support/Code/)
- VS Code Insiders (Application Support/Code - Insiders/)
- Windsurf (Application Support/Windsurf/)
- Codex (~/.codex/)
- Fichiers .env dans vos répertoires de projet
Fonctionnalités clés
- Analyse 100 % locale — aucune requête réseau, aucune télémétrie, aucun compte requis.
- Signalement basé sur la gravité des secrets détectés.
- Occultation directement dans les bases de données SQLite des discussions VS Code (.vscdb), avec sauvegardes horodatées avant modifications.
- Coffre-fort — les nouvelles valeurs secrètes sont stockées dans le Trousseau macOS, jamais exposées ; la copie nécessite Touch ID ou le mot de passe de connexion.
- Intégration MCP — un serveur MCP local pour Claude Code permettant de vérifier les secrets exposés, de consulter les résultats et d'exécuter des commandes avec des informations d'identification injectées depuis le coffre-fort sans révéler les valeurs secrètes brutes.
- Noyau open source (SieveCore).
Modèle d'autorisations
Sieve utilise les signets à sécurité renforcée de macOS. Au premier lancement, vous accordez l'accès en lecture au dossier de chaque outil via une boîte de dialogue Ouvrir standard. Aucune autre invite après l'octroi initial.
Préoccupation pratique
Les outils de codage IA lisent systématiquement les fichiers .env dans le cadre de leur fonctionnement normal. Chaque secret qu'ils touchent est intégré dans leurs fichiers locaux de transcription/état — non chiffré, en dehors de .gitignore, persistant indéfiniment. Sieve comble le vide que gitleaks et detect-secrets laissent.
Disponible sur le Mac App Store pour 9,99 $. Nécessite macOS 13.0 ou ultérieur. Taille : 4 Mo.
📖 Lire la source complète : HN AI Agents
👀 See Also
Caelguard : Scanner de sécurité open-source pour les instances OpenClaw
Caelguard est un scanner de sécurité open-source conçu pour OpenClaw qui exécute 22 vérifications sur votre instance, incluant l'isolation Docker, la délimitation des permissions des outils et la vérification de la chaîne d'approvisionnement des compétences. Il fournit un score sur 140 avec une note alphabétique et des étapes de correction spécifiques.
Cache-œil : Un Plugin Qui Empêche le Code Claude de Lire Vos Fichiers .env
Blindfold est un nouveau plugin qui empêche Claude Code d'accéder aux valeurs secrètes réelles dans les fichiers .env en les conservant dans le trousseau du système d'exploitation et en utilisant des espaces réservés comme {{STRIPE_KEY}}, avec des crochets qui bloquent les tentatives d'accès direct.
L'attaque FlyTrap utilise des parapluies adversariaux pour compromettre les drones autonomes basés sur la caméra.
Des chercheurs de l'UC Irvine ont développé FlyTrap, un cadre d'attaque physique qui utilise des parapluies peints pour exploiter les vulnérabilités des systèmes de suivi de cibles autonomes basés sur caméra. L'attaque réduit les distances de suivi à des niveaux dangereux, permettant la capture de drones, des attaques de capteurs ou des collisions physiques.
Vulnérabilités de sécurité OpenClaw : des failles critiques du framework corrigées le 28.03.2026.
Le laboratoire de sécurité Ant AI a identifié 33 vulnérabilités dans le cadre principal d'OpenClaw, avec 8 problèmes critiques corrigés dans la version 2026.3.28. Les vulnérabilités incluent le contournement du bac à sable, l'élévation de privilèges, la persistance des sessions après révocation des jetons, les risques SSRF et la dégradation des listes d'autorisation.