大模型隐私风险深度测评：你的数据安全正在被挑战

想象一下这个场景：你正愉快地使用 Claude Code 分析项目，下一秒，你的 API key、数据库密码、Stripe token 等所有生产凭证，可能已经悄无声息地加载进了对话上下文，甚至被发送到了远端的服务器。而这一切的起因，可能仅仅是因为 Claude 自动扫描并读取了你的 .env 文件。

更令人不安的是，真正能物理上阻止它访问这些敏感文件的，往往只是一行被大多数人忽略的 settings.json 配置。很多人没有这行配置，甚至根本不知道它的存在。

下面就是你需要了解的完整安全配置方案。

为什么 CLAUDE.md 规则保护不了你

一个常见的误区是，在 CLAUDE.md 文件里写上“永远不要读取 .env 文件”就万事大吉了。这更像是一条“君子协定”，Claude 在大多数情况下会遵守，但一旦任务变得复杂、上下文冗长或指令模糊，这种建议性规则（advisory rule）就可能被忽略。

事实上，早在2026年4月，一个GitHub issue就确认过：即使 CLAUDE.md 明确禁止，Claude 仍然有可能读取并回显 .env 的内容。

真正可靠的保护，来自于 settings.json 中的 deny rule。这是系统级执行的规则，会在 Claude “看到”文件内容之前就将其拦截。这两者的区别，就好比是“请你不要读这个”和“你物理上读不到这个”，其效力天差地别。

密钥泄露的三条路径

风险远不止Claude直接打开 .env 文件这一种。密钥泄露通常有三条主要路径：

1. 直接读取文件

这是最直观的风险：Claude 扫描项目时，直接打开了 .env 文件，导致其内容进入对话上下文。这条路径也最容易通过 deny rule 来阻断。

2. 运行时输出泄露

这种情况更隐蔽。当 Claude 运行测试或启动应用时，一个失败的 HTTP 请求可能将完整的 Authorization: Bearer sk-live-abc123... 头信息打印到日志；或者数据库超时，把包含密码的连接字符串（connection string）倾倒出来。Claude 会捕获所有命令输出，这意味着，即使它从未直接读取 .env，你的密钥也可能通过程序自身的日志泄露。

3. Grep 和搜索工具泄露

Claude 使用 grep 在代码库中搜索某个函数名，结果意外匹配到了包含凭证的配置文件。grep 的输出会将包含密钥的那几行一并显示，密钥就这样再次进入了上下文。

很多人只防范第一条路径，但真正容易出事的，往往是后两条。

真正有用的 Deny Rules

将以下规则添加到全局配置文件 ~/.claude/settings.json 中，可以让所有项目都受到保护：

{
  "permissions": {
    "deny": [
      "Read(**/.env*)",
      "Read(**/.dev.vars*)",
      "Read(**/*.pem)",
      "Read(**/*.key)",
      "Read(**/secrets/**)",
      "Read(**/credentials/**)",
      "Read(**/.aws/**)",
      "Read(**/.ssh/**)",
      "Read(**/config/database.yml)",
      "Read(**/config/credentials.json)",
      "Read(**/.npmrc)",
      "Read(**/.pypirc)",
      "Write(**/.env*)",
      "Write(**/secrets/**)",
      "Write(**/.ssh/**)"
    ]
  }
}

这会阻止 Claude 读取或写入：.env、.dev.vars 文件；PEM 私钥；SSH 密钥；AWS 配置；各类凭证文件；npm 和 PyPI 的 token；以及 secrets/ 与 credentials/ 目录。其中 ** 通配符确保规则应用到项目所有子目录。

这才是基础防线——不是提醒Claude小心，而是直接不给它看。

阻止运行时泄露

Deny rules 能防止直接读取文件，但挡不住程序运行时自己把密钥打印出来。因此，你还需要为测试环境准备专门的 .env.test 文件，里面全部使用假值（dummy values）。

# .env.test — 可以读取，也可以泄露，因为里面没有真密钥
STRIPE_SECRET_KEY=sk_test_not_a_real_key
DATABASE_URL=postgres://test:test@localhost:5432/testdb
OPENAI_API_KEY=sk-test-dummy-key-for-mocking
AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

然后，配置你的测试框架去读取 .env.test，而不是真正的 .env。这样，即使Claude运行测试时捕获了输出，日志里出现的也只是无用的假密钥。这一步很关键，因为风险可能来自你自己的程序。

用 Pre-commit Hook 做最后一道拦截

即使有了 deny rules，人为错误仍可能发生。增加一个 git pre-commit hook，可以在任何提交进入仓库之前，主动扫描并拦截包含密钥的更改。

#!/bin/bash
# .git/hooks/pre-commit — 阻止包含密钥的 commit

PATTERNS=(
  'sk-ant-'            # Anthropic API keys
  'sk-live-'           # Stripe live keys
  'sk_live_'           # Stripe live keys，另一种格式
  'ghp_'               # GitHub personal tokens
  'gho_'               # GitHub OAuth tokens
  'AKIA'               # AWS access keys
  'xox[bpors]-'        # Slack tokens
  'SG\.'               # SendGrid keys
  'eyJ'                # JWTs
  'BEGIN.*PRIVATE KEY' # Private key material
)

BLOCKED_FILES=('.env' 'credentials.json' 'id_rsa' '*.pem' '*.key')

for pattern in "${PATTERNS[@]}"; do
  if git diff --cached --diff-filter=ACM | grep -qE "$pattern"; then
    echo "BLOCKED: Found potential secret matching '$pattern'"
    echo "Remove the secret and try again."
    exit 1
  fi
done

for file in "${BLOCKED_FILES[@]}"; do
  if git diff --cached --name-only | grep -q "$file"; then
    echo "BLOCKED: Attempted to commit sensitive file: $file"
    exit 1
  fi
done

echo "Pre-commit security check passed."
exit 0

创建后，记得赋予执行权限：chmod +x .git/hooks/pre-commit。这个钩子会拦截包含Anthropic API key、Stripe live key、GitHub token、AWS key等常见风险模式的提交。它虽不能提供完美安全，却能有效拦截许多真实、低级且代价高昂的事故。

容器隔离：核按钮方案

如果你追求极限安全，可以将 Claude Code 放在容器中运行，并确保容器内根本不存在真实的 .env 文件。

# 把 /dev/null 挂载到 /app/.env，这样 Claude 看不到真实 .env
docker run -v /dev/null:/app/.env:ro your-dev-container

从 Claude 的视角看，.env 就是一个空文件，你的真实密钥从未进入容器文件系统。对于大多数个人项目，这可能有些过度，但如果你在处理客户项目或包含生产凭证的敏感任务，这个方案值得考虑。

完整安全配置：直接复制版

下面是一份完整的 ~/.claude/settings.json 配置示例，它结合了日常工作所需的权限和严格的安全拒绝规则：

{
  "permissions": {
    "allow": [
      "Read",
      "Glob",
      "Grep",
      "LS",
      "Edit",
      "MultiEdit",
      "Write(src/**)",
      "Write(tests/**)",
      "Bash(npm run *)",
      "Bash(npm test *)",
      "Bash(npx tsc *)",
      "Bash(git status)",
      "Bash(git diff *)",
      "Bash(git log *)",
      "Bash(git add *)",
      "Bash(git commit *)"
    ],
    "deny": [
      "Read(**/.env*)",
      "Read(**/.dev.vars*)",
      "Read(**/*.pem)",
      "Read(**/*.key)",
      "Read(**/secrets/**)",
      "Read(**/credentials/**)",
      "Read(**/.aws/**)",
      "Read(**/.ssh/**)",
      "Read(**/config/database.yml)",
      "Read(**/config/credentials.json)",
      "Read(**/.npmrc)",
      "Read(**/.pypirc)",
      "Write(**/.env*)",
      "Write(**/secrets/**)",
      "Write(**/.ssh/**)",
      "Write(.github/workflows/*)",
      "Bash(rm -rf *)",
      "Bash(sudo *)",
      "Bash(git push *)",
      "Bash(npm publish *)",
      "Bash(curl * | sh)",
      "Bash(wget *)",
      "Bash(chmod *)"
    ],
    "defaultMode": "acceptEdits"
  }
}

这份配置做了两件事：第一，允许日常开发中的常见操作，如读取文件、编辑源码、运行测试、查看git状态等；第二，拒绝所有敏感文件访问和危险操作，如读取.env、写入密钥、推送代码、发布包、执行sudo或rm -rf等。其核心思想是：让Claude能高效协助工作，但绝不触碰它不该碰的东西。

使用前检查清单

下次打开 Claude Code 前，不妨先快速核对以下6个问题：

• 你的 settings.json 里是否有针对 .env 等文件的 deny rules？
• 你的测试是否使用带 dummy values 的 .env.test？
• 你的项目是否有 pre-commit hook 来扫描密钥模式？
• 生产凭证是否放在专门的 vault 里，而不是明文文件中？
• .env 是否已经加入 .gitignore？
• 是否考虑将 .env 文件放在项目目录之外，以获得额外安全性？

如果这6项你都做到了，那么你的密钥已经获得了当前条件下尽可能高的安全保障。如果一项都没做，那么你的API密钥出现在Anthropic服务器对话日志里的风险，可能只差一次模糊的Claude提示词（prompt）。