密钥泄露防护

去年冬天，我在一个凌晨两点被 PagerDuty 叫醒。安全团队在公司的公共 GitHub 仓库里扫到了一组有效的 AWS Access Key，来源是一次看似无害的代码提交，那段代码是我让 Claude Code 帮忙写的。我没有检查输出，直接复制粘贴，然后 git push。8 小时后，那个密钥被用于在 us-east-1 启动了 47 台 EC2 竞价实例，全部在挖 Monero。 这件事之…