前沿編碼代理仍在撒謊——我測量了這一點
開發者構建了Trusty Squire,自動化AI輔助編碼中註冊第三方服務的繁瑣手動過程。它集成編碼代理處理註冊、驗證和API密鑰存儲,使用安全代理保險庫,消除.env文件,防止密鑰進入代理上下文。
大多數AI編碼工具能夠快速構建集成、遷移和測試,但每次遇到新的第三方服務依賴時,流程都會卡在同一個地方:代理生成代碼並提示“將你的RESEND_API_KEY添加到.env”。開發者不得不手動註冊服務、驗證郵箱、獲取密鑰並粘貼到.env文件中,這不僅繁瑣,還引入了安全風險——密鑰可能被提交到GitHub或留在代理的上下文窗口中。
為了解決這一最後的手動障礙,作者構建了Trusty Squire,一個開源MCP服務器。它由現有編碼代理(如Claude Code、Cursor、Codex或Goose)驅動,控制一個作用域瀏覽器自動完成註冊流程,包括處理電子郵件驗證、繞過驗證碼,並將API密鑰直接存入加密保險庫。關鍵設計原則是:原始密鑰永不返還給代理,也絕不進入代碼倉庫。保險庫是隻寫的,代理無法讀取密鑰值;當代碼需要密鑰時,通過代理服務器注入,服務端替換佔位符後返回響應,密鑰僅流向提供商。
對於已部署的應用,可以創建出口授權——一個作用域、限速率且可即時撤銷的令牌。這樣保險庫成為控制平面:一次輪換密鑰,所有授權自動更新;泄露時撤銷授權,後續調用失敗關閉。特別值得注意的功能是多控制台設置,例如在Google Cloud控制台創建客户端密鑰並在另一個控制台使用,驅動在會話中捕獲密鑰並封閉處理,從未在代理上下文或聊天記錄中暴露明文。
處理現代註冊表單的機器人門控是主要的工程挑戰。Cloudflare Turnstile、Clerk、DataDome等機制經常導致通用瀏覽器代理停滯。Trusty Squire在後台處理這些驗證,並且隨着使用而加速:首次成功註冊會被提煉為可重用的配方並共享,後續任何人配置同一服務時,可在約30秒內回放,無需重新探索流程。
儘管效果顯著,仍存在侷限性:最佳支持OAuth註冊(Google/GitHub),但部分服務可能需要更復雜的處理。最重的驗證碼堆棧、電話驗證門控和激進的防機器人面板仍需手動處理。單次使用的魔法鏈接存在爭用條件,數據中心IP會話失效是持續的運維挑戰。項目目前處於測試階段,免費使用。
Trusty Squire是開源項目,可作為MCP服務器集成到Claude Code、Cursor和Codex中。開發者可通過指定鏈接開始使用或在GitHub上查看代碼。作者歡迎對安全模型的反饋。