Dwa kanały, dwie powierzchnie ataku
Deweloperzy używają AI w dwóch miejscach. Każde z nich ma inny przepływ danych i wymaga innych mechanizmów kontroli bezpieczeństwa.
AI zintegrowane z IDE — Cursor, GitHub Copilot, rozszerzenia VS Code i Claude Desktop mają dostęp do całego projektu. Pliki kodu, pliki konfiguracyjne i zmienne środowiskowe są w zasięgu modelu. Model AI otrzymuje to, co deweloper wklei, lub to, co klient pobierze z kontekstu projektu.
AI w przeglądarce — Claude.ai, ChatGPT i Gemini działają w przeglądarce. Deweloperzy wklejają kod, stack trace'y i komunikaty błędów przez pola tekstowe. Tekst trafia bezpośrednio do dostawcy AI — bez żadnego filtra pośredniego.
Oba kanały ujawniają wrażliwe dane dostawcom AI. Oba wymagają kontroli. Jednak właściwy mechanizm ochrony różni się w zależności od kanału. Zespół, który zabezpiecza tylko jeden z nich, chronił zaledwie połowę przepływu pracy deweloperów.
Warstwa IDE: serwer MCP
Dla użytkowników Claude Desktop i Cursora odpowiednią warstwą bezpieczeństwa jest Model Context Protocol (MCP).
Serwer MCP działa między klientami AI a interfejsami API modeli. Odczytuje wszystkie dane przechodzące przez ten interfejs, zanim trafią do modelu.
Ta pozycja umożliwia trzy rzeczy:
Usuwanie kluczy i sekretów — klucze API, ciągi połączeń z bazą danych, tokeny uwierzytelniające i wewnętrzne adresy URL są wykrywane i zastępowane bezpiecznymi tokenami przed wysłaniem. Model otrzymuje [API_KEY_1] zamiast rzeczywistej wartości klucza.
Niestandardowe wzorce kodu — zespoły mogą dodawać własne reguły dopasowania dla wewnętrznych kodów produktów, identyfikatorów klientów i nazw usług. Standardowe narzędzia do ochrony danych osobowych nie znają tych wzorców. Reguły niestandardowe działają w serwerze MCP przed wysłaniem jakichkolwiek danych.
Brak zakłóceń w pracy deweloperów — deweloper używa Cursora lub Claude Desktop dokładnie tak jak dotychczas. Serwer MCP działa między klientem a API. Deweloper nie widzi żadnej zmiany i nadal korzysta z pełnej pomocy AI.
GitHub Octoverse 2024 odnotował 39 milionów ujawnionych sekretów na GitHubie — wzrost o 25% rok do roku. Ten sam nawyk, który napędza te wycieki, powoduje też wycieki przez AI w IDE. Dane uwierzytelniające trafiają do zatwierdzonego kodu — i do wklejonego kontekstu. Przechwytywanie przez serwer MCP obejmuje kanał AI tego samego wzorca.
Zobacz również: Bezpieczeństwo PII w serwerze MCP w 2026 roku
Warstwa przeglądarki: rozszerzenie Chrome
Dla przeglądarki — Claude.ai, ChatGPT, Gemini — właściwym mechanizmem kontroli jest rozszerzenie Chrome.
Rozszerzenie działa jako skrypt treści na każdej platformie AI. Odczytuje tekst zanim deweloper go wyśle. Wykrywa wrażliwą zawartość — imiona, sekrety i wzorce kodu, które zdefiniowałeś — i maskuje je przed przesłaniem tekstu do dostawcy AI.
Obie warstwy obejmują różne kanały:
Serwer MCP chroni — wszystkie sesje AI przez Claude Desktop lub Cursor. Przeglądy kodu, sesje debugowania i zapytania o kontekst projektu — wszystko przechodzi przez tę warstwę.
Rozszerzenie Chrome chroni — całe użycie AI w przeglądarce. Claude.ai, ChatGPT, Gemini, Perplexity i każdy inny interfejs AI dostępny przez przeglądarkę. Dotyczy to również deweloperów, którzy używają przeglądarki do pracy z dokumentacją lub pytań, które wolą zadawać poza IDE.
Zobacz również: Blokowanie a anonimizacja w przeglądarce DLP
Jak wygląda pełna ochrona
Zespół deweloperski korzystający z obu warstw ma kompletne zabezpieczenie. Oto jak to działa w praktyce.
Deweloper używa Cursora z Claude do debugowania problemu produkcyjnego. Serwer MCP usuwa sekrety ze stack trace'u zanim Claude go zobaczy. Żadne klucze nie są wysyłane.
Ten sam deweloper otwiera Claude.ai w przeglądarce z pytaniem architektonicznym. Dołącza wewnętrzny adres URL usługi. Rozszerzenie Chrome usuwa adres URL przed wysłaniem. Żaden wewnętrzny adres URL nie trafia do Claude.
Kolega używa ChatGPT do pracy z dokumentacją. Wkleja kod zawierający klucz API. Rozszerzenie Chrome przechwytuje klucz zanim trafi do OpenAI. Żaden klucz nie zostaje ujawniony.
Żaden kanał nie ujawnia sekretów ani wrażliwego kodu dostawcom AI. Obaj deweloperzy używają AI do prawdziwej pracy. Zespół bezpieczeństwa ma techniczne mechanizmy kontroli na obu kanałach — nie tylko reguły w politykach.
CVE-2024-59944 ilustruje jeden przypadek szerszego wzorca. Narzędzia AI dla deweloperów bez warstwy przechwytywania stanowią kanał wycieku. Dwuwarstwowy model to bezpośrednia odpowiedź na to ryzyko.
Zobacz również: Wyciek PII z narzędzi AI do kodowania w środowisku produkcyjnym
Dlaczego jedna warstwa nie wystarczy
Niektóre zespoły blokują AI w przeglądarce i polegają wyłącznie na narzędziach IDE. Inne dopuszczają AI w przeglądarce, ale nie zabezpieczają IDE. Oba podejścia pozostawiają lukę.
Deweloper, który używa Cursora w pracy, może otworzyć ChatGPT w zakładce przeglądarki, żeby szybko sprawdzić coś pobocznego. Kontrola tylko w IDE tego nie wykryje. Kontrola tylko w przeglądarce nie obejmuje sesji w IDE. Oba kanały są aktywne w ciągu prawdziwego dnia pracy dewelopera.
Dwuwarstwowy model chroni oba kanały. Nie zakłada, że deweloperzy będą unikać jednego lub drugiego. Działa w tle w obu miejscach jednocześnie.
anonym.legal dostarcza obie warstwy: serwer MCP dla AI zintegrowanego z IDE oraz rozszerzenie Chrome dla AI w przeglądarce. Oba działają na tym samym silniku detekcji — ponad 285 typów encji, 48 języków, szyfrowanie z możliwością odwrócenia.