AI News HubLIVE
站内改写2 分钟阅读

前沿编码代理仍在撒谎——我测量了这一点

开发者构建了Trusty Squire,自动化AI辅助编码中注册第三方服务的繁琐手动过程。它集成编码代理处理注册、验证和API密钥存储,使用安全代理保险库,消除.env文件,防止密钥进入代理上下文。

来源Hacker News AI作者: lunchboxfortwo

大多数AI编码工具能够快速构建集成、迁移和测试,但每次遇到新的第三方服务依赖时,流程都会卡在同一个地方:代理生成代码并提示“将你的RESEND_API_KEY添加到.env”。开发者不得不手动注册服务、验证邮箱、获取密钥并粘贴到.env文件中,这不仅繁琐,还引入了安全风险——密钥可能被提交到GitHub或留在代理的上下文窗口中。

为了解决这一最后的手动障碍,作者构建了Trusty Squire,一个开源MCP服务器。它由现有编码代理(如Claude Code、Cursor、Codex或Goose)驱动,控制一个作用域浏览器自动完成注册流程,包括处理电子邮件验证、绕过验证码,并将API密钥直接存入加密保险库。关键设计原则是:原始密钥永不返还给代理,也绝不进入代码仓库。保险库是只写的,代理无法读取密钥值;当代码需要密钥时,通过代理服务器注入,服务端替换占位符后返回响应,密钥仅流向提供商。

对于已部署的应用,可以创建出口授权——一个作用域、限速率且可即时撤销的令牌。这样保险库成为控制平面:一次轮换密钥,所有授权自动更新;泄露时撤销授权,后续调用失败关闭。特别值得注意的功能是多控制台设置,例如在Google Cloud控制台创建客户端密钥并在另一个控制台使用,驱动在会话中捕获密钥并封闭处理,从未在代理上下文或聊天记录中暴露明文。

处理现代注册表单的机器人门控是主要的工程挑战。Cloudflare Turnstile、Clerk、DataDome等机制经常导致通用浏览器代理停滞。Trusty Squire在后台处理这些验证,并且随着使用而加速:首次成功注册会被提炼为可重用的配方并共享,后续任何人配置同一服务时,可在约30秒内回放,无需重新探索流程。

尽管效果显著,仍存在局限性:最佳支持OAuth注册(Google/GitHub),但部分服务可能需要更复杂的处理。最重的验证码堆栈、电话验证门控和激进的防机器人面板仍需手动处理。单次使用的魔法链接存在争用条件,数据中心IP会话失效是持续的运维挑战。项目目前处于测试阶段,免费使用。

Trusty Squire是开源项目,可作为MCP服务器集成到Claude Code、Cursor和Codex中。开发者可通过指定链接开始使用或在GitHub上查看代码。作者欢迎对安全模型的反馈。