Sieve: AI 코딩 도구 채팅 기록용 로컬 비밀 스캐너

Sieve는 AI 코딩 어시스턴트 채팅 기록에서 유출된 비밀(API 키, 토큰, 비밀번호)을 감지하는 macOS 앱입니다. 표준 git 스캐너가 놓치는 로컬 기록 저장소를 대상으로 합니다. Sieve는 에이전트가 작업을 기록하는 SQLite 데이터베이스와 일반 텍스트 파일을 읽습니다.

스캔 대상

• Claude Code (~/.claude/)
• Cursor (Application Support/Cursor/)
• VS Code Copilot (Application Support/Code/)
• VS Code Insiders (Application Support/Code - Insiders/)
• Windsurf (Application Support/Windsurf/)
• Codex (~/.codex/)
• .env 파일 프로젝트 디렉토리 내

주요 기능

• 100% 로컬 스캔 — 네트워크 요청, 원격 분석, 계정 불필요.
• 심각도 기반 플래그 지정 감지된 비밀에 대해.
• 수정 — VS Code SQLite 채팅 데이터베이스(.vscdb)에서 직접 수정하며, 변경 전 타임스탬프 백업 생성.
• 볼트 — 새 비밀 값은 macOS 키체인에 저장되어 절대 노출되지 않으며, 복사 시 Touch ID 또는 로그인 비밀번호 필요.
• MCP 통합 — Claude Code가 유출된 비밀을 확인하고, 결과를 조회하며, 볼트에 주입된 자격 증명으로 명령을 실행할 수 있는 로컬 MCP 서버를 제공하여 원시 비밀 값을 노출하지 않음.
• 오픈 소스 코어 (SieveCore).

권한 모델

Sieve는 macOS 보안 범위가 지정된 북마크를 사용합니다. 첫 실행 시 각 도구의 폴더에 대한 읽기 접근 권한을 표준 열기 대화상자를 통해 부여합니다. 초기 허용 후 추가 프롬프트는 없습니다.

실용적 우려

AI 코딩 도구는 정상 작동 중 .env 파일을 일상적으로 읽습니다. 이들이 접촉하는 모든 비밀은 로컬 기록/상태 파일에 암호화되지 않은 상태로 남아 .gitignore의 범위 밖에 있으며 무기한 보존됩니다. Sieve는 gitleaks와 detect-secrets가 놓치는 공백을 메웁니다.

Mac App Store에서 $9.99에 사용 가능. macOS 13.0 이상 필요. 용량: 4MB.