A Cursor .env probléma
A Cursor az egyik legelterjedtebb AI-kódoló asszisztens fejlesztők számára. Alapértelmezett beállítással a Cursor betölti a .env fájlokat az AI-kontextusba, ami azt jelenti:
# .env fájl (Cursor betölti az AI-kontextusba)
OPENAI_API_KEY=sk-proj-abc123real...
DATABASE_URL=postgresql://user:password@prod-server/mydb
JWT_SECRET=supersecret-production-key
STRIPE_SECRET_KEY=sk_live_realkey...
Ezek az értékek az AI-kontextusban láthatóak a kódbefejezés és a csevegési válaszok során. Nem kerülnek feltétlenül a GitHubra – de az AI-csevegési előzményekbe igen.
Az MCP biztonsági megoldás
Az anonym.legal MCP-kiszolgálója elfogja a titkok küldését az AI-modellig:
# MCP-kiszolgáló telepítése
npm install -g @anonym-legal/mcp-server
# claude_desktop_config.json konfigurálása
{
"mcpServers": {
"anonym-legal": {
"command": "anonym-legal-mcp",
"env": {
"ANONYM_API_KEY": "al_live_xxxx",
"ANONYM_SENSITIVITY": "high"
}
}
}
}
Mit szerkeszt az MCP
- Összes API-kulcs mintázat (OpenAI, AWS, GitHub, Stripe stb.)
- Adatbázis kapcsolati karakterláncok
- JWT tokenek
- SSH kulcsok
- Belső felhasználói azonosítók és ügyféladatok
A 12 millió dolláros eset tanulsága
Az elveszített trading algoritmus eset azt mutatja: a szellemi tulajdon ugyanolyan PII-veszéllyel jár. Az anonym.legal egyéni entitásokat is felismer:
{
"ANONYM_CUSTOM_ENTITIES": [
{
"name": "PROPRIETARY_ALGO",
"pattern": "ALGO-[A-Z0-9]{8}",
"replacement": "[ALGO_ID]"
}
]
}
Következtetés
A fejlesztői AI-biztonsági rés valódi és drága. Az MCP-kiszolgáló az IDE-szintű megoldás, amely átlátható integráción és nulla munkafolyamat-megszakításon alapul.