当前位置：首页 > article >正文

差点把用户数据泄漏给Claude Code后，我写了个 Rust 工具

article 2026/5/23 14:06:37

两周前我把公司的数据库接进了Claude Code效率确实起飞了直到我翻了一下会话记录。两周前公司的 PostgreSQL 数据库接进了Claude Code以后AI 确实能干——帮我写迁移、联表、生成报表效率直接起飞。直到我随手翻了一下会话记录看到这个[{id:1,country:NZ,full_name:Alice Johnson,email:alice.johnsonexample.com,phone_number:64 0212339940,ird_number:823-101-334,created_at:2023-01-15 10:30:00},...]这是 AI 执行SELECT * FROM users时返回的真实数据。姓名、邮箱、电话、政府税号等等敏感信息全在上下文里。并且这些数据可能存在对话日志AI 生成的任何摘要它刚写入/tmp的文件如果开了会话共享可能还去了别人的机器最隐蔽的某些平台会拿用户数据训练下一代开源模型AI 没做错任何事。我也没做错。工具返回了什么模型就看到什么——中间没有人在把关。我当时的第一反应为什么不用 LLM 来脱敏能不能让 AI “自觉”不请求敏感字段试过没用。提示词写得再严模型在某些边界情况下还是会漏。那在 AI 收到结果后再调个 LLM 脱敏呢这条路我也想过但行不通成本一次会话几十上百次查询每次多调一次模型账单感人延迟tool 执行路径需要毫秒级返回LLM 做不到审计“为什么这个字段被脱敏了”——LLM 给不出确定答案也没法复现现有的 PII 脱敏工具Presidio、Nightfall 等是给数据管道或 API 网关用的跑在 Agent 的 tool 执行路径上不合适。所以我想要的不是“更聪明的模型”而是一个确定性的过滤器放在 Agent 和数据库之间自动拦截查询结果不靠 LLM 猜Agent 无法绕过于是写了 gategate是一个 Rust 写的命令行工具做一件事在数据进入模型之前把 PII 替换成[PII:类型]。JSON 结构不变AI 可以继续遍历、计数、推理但永远看不到原始值。覆盖两个路径它覆盖了 Agent 从后端拿数据的两个主要途径1. Bash 命令Agent 想跑psql -c SELECT ...→gate的钩子在 harness 层把命令改写成gate run -- psql -c ...→ 子进程的 stdout 经过扫描脱敏后才返回给模型。这个改写发生在 Claude Code / OpenCode / Copilot CLI 的PreToolUse钩子里是强制执行的Agent 没法说我不走那个钩子。2. MCP Servergate mcp是一个 stdio 代理你把它注册成 MCP Server它启动上游的真实 Server然后所有tools/call的返回值都会经过脱敏扫描。对上游 Server 零侵入现有 MCP Server 不用改一行代码。一条命令就能把所有 MCP Server 包进去bashgate init --wrap-mcp --yes用之前先扫一遍gate scan我建议任何人在接入 AI 之前先跑gate scan看看自己库里有多少敏感信息bashpsql -d mydb -c SELECT TABLE_NAME, COLUMN_NAME FROM information_schema.columns WHERE table_schema public | gate scan输出按 Critical / Elevated / Standard 分级告诉你哪几张表风险最高。如果有false positive字段比如products表里的city字段可以用--review一键加入白名单。跑了一段时间后gate retrogate retro会读取本地的统计日志告诉你一共拦截了多少次查询脱敏了多少个 PII 字段按工具和 PII 类型拆分的命中率这是写给安全团队看的这工具不是摆设数字在这。坦诚说哪些它防不住Agent攻击被注入后故意 Base64 编码、换成 CSV 输出、走没配置的工具—— 不在威胁模型内。可以配合 harness 级别的工具白名单加固。非 JSON 输出— 纯文本、CSV 原样放过。可以配置pipe: jq -c .转成 JSON。MCP 的resources/read—— 目前只拦截tools/call这是个已知缺口正在做。快速指南3条命令bash# macOS / Linux brew tap GaaraZhu/gate brew install gate gate config # 生成配置 gate init # 注册 Claude Code Hook gate init --wrap-mcp # 包住现有 MCP Server先 dry-run关了也很简单gate disable关gate enable再开。彻底卸载是gate uninstall。项目地址https://github.com/GaaraZhu/gateRust 编写MIT 协议~7k 行代码 ~6k 行测试已发布 46 个版本Homebrew 可安装。如果你也在用AI连接数据库不妨先跑个gate scan看看。也许你会发现有些东西不该出现在模型的上下文里。

差点把用户数据泄漏给Claude Code后，我写了个 Rust 工具

相关文章：

差点把用户数据泄漏给Claude Code后，我写了个 Rust 工具

告别手动下载烦恼！DouK-Downloader让抖音/TikTok数据采集变得简单

洛雪音乐音源配置完整教程：3分钟解锁全网无损音乐

VideoDownloadHelper：打破网页视频下载壁垒的智能解决方案

基于STM32的智能小车：从硬件选型到PID算法实战

通过curl命令快速测试Taotoken大模型聚合接口的连通性

一站式跨平台资源下载神器：5分钟掌握高效网络资源管理

Mi-Create：让每个人都能成为小米手表表盘设计师的免费开源工具

掌握SRA Tools：3步轻松处理高通量测序数据的高效工具

UserLAnd安卓Linux容器：如何在手机上运行完整Linux系统的终极指南

Yarn Spinner终极指南：10分钟学会编写专业游戏交互对话

【QiLink 创始人手记：为什么我回绝了第一家专利代理所？】

仓内与仓外智能物流设计技术难点

智能物流系统的技术难点

精密峰值检测电路：双运放架构原理、设计与工程实践

Win11Debloat：Windows系统优化利器，一键清理臃肿应用与隐私设置

JEECG-Boot接口幂等性架构深度解析：Token机制与分布式锁实战指南

3步实现AI动作复制：如何用ComfyUI-MimicMotionWrapper让普通人拥有专业舞者动作

Taotoken的模型广场如何辅助开发者进行技术选型

为什么82%的保险AI Agent项目卡在POC阶段？一线技术总监首度公开6个致命设计盲区

C++学习笔记25：explicit 关键字与隐式类型转换

Cortex-M3调试中JTAG RESET线的关键作用与实践

Bebas Neue字体完全指南：免费商用的现代设计利器

“AI点单员”真的能替代人工吗？——基于237家门店AB测试的转化率、客单价、复购率三重数据验证（含原始数据集索引）

EGO-Planner-v2：零配置开启无人机集群仿真新体验

BE-ToF技术：突破远距离深度成像的创新方案

海思HS-Ultra 7L2D边缘AI工控机：99 TOPS算力如何赋能工业视觉与医疗？

基于AXI4-Lite总线与AXI UARTLite IP核实现Zynq PS-PL异构串口扩展

基于RT-Thread与TOF传感器的智能电动滑板主动刹车系统设计

3分钟学会洛雪音乐音源配置：免费获取全网高品质音乐的终极指南